탈륨 조직, 2021년 외교부 재외공관 복무 관련 실태 조사 위장 공격

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

 

최근 외교부에서 발행한 것처럼 위장한 악성 파일이 발견되어 관련자들의 각별한 주의가 필요합니다.

 

 

[그림 1]  외교부 대변인실 표지의 가판 뉴스가 담긴 정상  PDF  파일

 

 

해당 공격을 수행한 배후 세력으로는 북한 정부 지원 해커 조직인 ‘탈륨 (Thallium)’이 지목되었으며, 내부 문자열 암호화 방식이 기존 탈륨(Thallium) APT 조직의 ‘블루 에스티메이트 (Blue Estimate)’ 캠페인과 정확히 일치합니다. 이번 공격은 지난 4월에 발견된 ‘2021년 외교부 재외공관 복무 관련 실태 조사’ 관련 해킹 시도의 연장선에 있는 것으로 의심됩니다.

 

새로 발견된 악성 파일은 2021년 5월 7일 날짜로 발행된 외교부 대변인실 표지의 가판 뉴스가 담긴 정상 PDF 파일 내용을 사용함으로써 수신자의 의심을 최소화했습니다. 악성 파일 안에는 Base64로 인코딩된 데이터와 스크립트가 들어있고, C:\ProgramData\ 경로에 ‘외교부 가판 2021-05-07.pdf’, ‘glK7UwV.pR9a’, ‘efVo8cq.sIhn’ 파일이 설치됩니다. 생성된 ‘glK7UwV.pR9’a파일은 C:\ProgramData\Software\ESTsoft\Common\ 경로에 마치 이스트소프트 업데이트 파일처럼 위장한 64비트 악성 DLL 파일을 추가하고 호출합니다.

 

jse 파일 안에는 base64로 된 데이터와 스크립트가 들어있고, C:\ProgramData\ 아래 외교부 가판 2021-05-07.pdf, glK7UwV.pR9a, efVo8cq.sIhn 파일이 드롭됩니다.

 

 

[그림 2] jse  스크립트 화면

 

 

생성된 ‘glK7UwV.pR9’a파일은 C:\ProgramData\Software\ESTsoft\Common\ 경로에 마치 이스트소프트 업데이트 파일처럼 위장한 64비트 악성 DLL 파일을 추가하고 호출합니다.

 

 

[그림 3]  이스트소프트 업데이트 파일로 위장한 파일

 

 

해당 DLL 파일은 감염 시스템 정보 전송 및 명령 제어 기능을 수행하며, 재부팅시에도 자동 실행하기 위해 아래와 같이 레지스트리 자동실행 항목에 등록합니다. 이는 이전에 탈륨 APT 조직이 수행한 ‘블루 에스티메이트’ 캠페인에서 사용한 기능과 유사합니다.

 

 

[그림 4]  레지스트리 자동 실행 등록 화면

 

 

그런 다음, 명령 제어(C2) 서버 'texts.letterpaper[.]press' 주소로 감염 시스템 정보를 유출시키며 공격자 의도에 따라 다양한 원격 제어를 시도합니다. 특징적으로는 내부 문자열 암호화 방식이 기존 탈륨(Thallium) APT 조직의 ‘블루 에스티메이트’ 캠페인과 정확히 일치하고 있습니다.

 

최근 국내 포털 업체 고객센터를 사칭하거나, 악성 문서 파일을 첨부한 스피어 피싱 공격이 기승을 부리고 있으며, 워터링 홀 공격까지 가세하고 있습니다.

 

특히 북한 당국과 연계된 것으로 널리 알려진 탈륨과 라자루스 조직의 사이버 공격 수위가 함께 증대되고 있어 유사 위협에 노출되지 않도록 민관의 각별한 주의와 관심이 요구됩니다. 피해 예방을 위해 수신된 이메일 발신지 진위 여부를 꼼꼼히 살펴보고, 첨부된 파일이나 본문에 포함된 URL 주소 접근에 각별한 주의가 필요합니다.

 

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플을 'Trojan.Script.259416T'로 탐지 중이며 관련된 IoC는 쓰렛 인사이드(Threat Inside)에서 확인하실 수 있습니다.