미국의 북한 문제 전문가 포럼 인터뷰 사칭 문서 유포
미국의 북한 문제 전문가 포럼 ‘NCNK(THE NATIONAL COMMITTEE ON NORTH KOREA)‘의 코로나19 바이러스 관련 인터뷰 문서로 사칭한 악성 파일이 국내에 유포되고 있어 주의가 필요한 상황이다.
보안 기업 이스트시큐리티가 5월 29일 MS워드(MS-Word) DOC 문서 형식의 악성 파일이 첨부된 이메일을 발견했다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)는 이번 공격에 사용된 기법이 ‘김수키(Kimsuky)’ 조직의 APT(지능형지속위협) 공격과 동일하다고 밝혔으며, 김수키 조직은 북한 정부의 후원을 받는 해커 그룹으로 알려져 있다.
피싱 메일에 첨부된 악성 문서에는 북한 내 코로나19 바이러스 확산 상황과 국제 NGO 단체의 지원 여부 내용 등이 담겨있다. 파일 이름은 ‘My Interview on COVID-19 with NCNK.doc’이며, 실제 전미북한위원회(NCNK, THE NATIONAL COMMITTEE ON NORTH KOREA) 공식 홈페이지에 등록된 내용을 무단 도용한 것으로 추정된다.
악성 메일 수신자가 이같은 내용에 현혹돼 악성 파일을 열게 되면 문서 내용 확인을 위해 상단의 매크로 버튼 클릭을 유도하며, 만약 콘텐츠 사용 버튼을 클릭해 악성 매크로를 실행할 경우, 이용자의 PC는 악성코드에 감염돼 해커가 지정한 서버로 접속해 추가 명령을 수행한다.
또한 악성코드는 마이크로소프트의 클라우드 스토리지(저장소) 서비스인 ‘OneDrive’라는 이름으로 윈도 작업 스케줄러에 악성 트리거(Trigger)를 등록해, 3분마다 한국 소재 특정 교육원 서버에 접속을 시도한다.
해당 명령 제어(이하 C2) 서버와 정상적 통신이 이뤄지면 김수키 조직의 대표적인 스모크 스크린 캠페인과 동일한 단계별 PHP 명령을 수행하고, 이후 C2 서버 명령을 통해 감염된 PC의 각종 정보를 은밀히 탈취한다.
ESRC에 따르면, 이번 공격은 윈도 작업 스케줄러 예약을 통해 악성 파일을 사용자 PC에 저장하지 않는 파일리스(Fileless) 기법처럼 작동한다. 따라서 악성 코드 감염 여부를 신속히 탐지하거나 식별하기 어려울 것이라는 설명이다.
ESRC 관계자는 이메일이나 SNS 메신저 등으로 전달받은 DOC 문서를 오픈할 때, 보안 경고 창이 나오면서 콘텐츠 사용을 유도할 경우 버튼을 절대 누르지 말 것을 당부했다.
