北 연계 APT 조직 탈륨(Thallium), 故 노태우 조문 네이버 뉴스로 사칭한 해킹 공격 시도

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

대표적인 北 연계 해킹 그룹으로 알려진 ‘탈륨(Thallium)’의 새로운 APT캠페인 해킹 공격이 포착돼 사용자들의 각별한 주의가 필요합니다.

이번 공격에서는 이메일에 악성 파일을 첨부해 보내는 전형적인 스피어 피싱(Spear Phishing) 공격 기법과 다르게, 최근 의 시사 정치 뉴스처럼 가장해 본문의 URL링크주소 클릭을 유도하는 사회공학적 피싱 수법을 사용하였습니다.

 

 

[그림 1] 실제 최신 뉴스를 위장한 피싱 메일

먼저 위협행위자는 북한 분야에서 활동하는 대북 전문가들을 주요 표적 삼아 이번 공격을 수행했고, 마치 고(故) 노태우 전 대통령의 법적 사위인 최태원 회장이 서울대병원 장례식장에 위치한 빈소를 찾아 조문하고 미국 출장 길에 오른다는 네이버 뉴스처럼 위장해 수신자의 경계심을 낮추고 접근하는 치밀함을 보였습니다.

확인결과 해당 공격에 사용된 문구와 조작된 가짜 사이트 화면은 실제 모 언론사의 실제 뉴스 내용을 그대로 무단 인용한 것으로 밝혀졌습니다.

 

 

[그림 2] 실제 네이버뉴스를 위장한 피싱 페이지

공격에 사용된 이메일은 보낸 사람과 주소가 “네이버 뉴스<news@navercorp.corn>”로 조작됐고, 실제 발신지는 불가리아 이메일 서비스인 “mail.bg”인 것으로 밝혀졌는데, 해당 서비스는 북한과 연계된 사이버 위협 조직이 그동안 여러 차례 사용한 바 있습니다. 그리고 이메일을 자세히 살펴보면 com 도메인이 아니라 c o r n 알파벳으로 교묘히 발신지를 위장한 사실도 알 수 있습니다.

해킹 이메일 본문에는 [뉴스 바로 가기] 링크가 2개 포함돼 있고, 모두  ‘nid.livelogin365.in[.]net’이라는 해외 서버로 접속을 유도합니다. 만약 해당 주소로 접근을 한다면 사용자의 IP주소 및 웹 브라우저 등 일부 정보가 노출될 가능성이 있고, 공격자의 의도에 따라 추가 악성 파일이 설치되는 위험성이 존재합니다. 이후 ‘nnews.naver-con.cloudns[.]cl’ 주소로 이동시켜 실제 뉴스 내용처럼 위장한 가짜 화면을 보여줍니다.

 

이번 공격을 분석해 본 결과 발신지와 명령제어(C2) 서버 주소, 과거 탈륨이 사용한 악성파일과의 코드 유사도등 공통점이 확인되었습니다. 

그동안 북한 정찰총국과 연계된 것으로 널리 알려진 동일 위협 행위자들은 악성 매크로(Macro) 명령을 삽입한 DOC, XLS 문서나 PDF 취약점(CVE-2020-9715) 공격을 주로 사용했는데, 이번에는 이메일 본문에 가짜 링크를 넣어 클릭 유무를 체크하고 외부에 위협 행위가 감지되는 것을 최소화하기 위한 정찰 단계가 관측된 점이 주목됩니다. 

 

 

IoC정보

 

URL 

nid.livelogin365.in[.]net

nnews.naver-con.cloudns[.]cl

 

이메일

news@navercorp.corn