상세 컨텐츠

본문 제목

금융社 또는 북한 내부 정보로 현혹하는 北 배후 해킹 증가 주의

악성코드 분석 리포트

by 알약4 2022. 1. 13. 10:36

본문

 

 

안녕하세요. ESRC(시큐리티 대응센터)입니다.

1월 11일, 국내 신용카드사의 요금 명세서를 위장한 악성 메일이 발견되었습니다. 

 

 

[그림 1] 카드사 요금 명세서를 위장한 피싱 메일

 

 

해당 피싱메일은 실제 메일과 매우 흡사하여 사용자가 쉽게 속을 가능성이 있습니다. 이러한 이메일은 카드사 뿐만 아니라 시중 은행을 사칭하여 유포되기도 합니다. 

 

이번 공격은 특정 대북 분야 종사자를 겨냥해 진행되었으며, 사전에 수집한 여러 주변 정보를 활용해 생활 밀착형 표적 공격을 수행한 것으로 확인되었습니다.

공격에 사용된 이메일을 살펴보면 마치 html 기반의 명세서 파일이 있는 것처럼 보이지만, 실제 첨부된 파일은 존재하지 않고, 해당 영역 클릭 시 악성 피싱 사이트로 연결됩니다. 만일, 해당 피싱 사이트에서 계정 정보 입력한다면, 입력한 계정정보는 공격자의 서버로 전송됩니다. 


해당 공격의 경우 특수하게 조작한 코드를 이메일에 넣어두었기 때문에 첨부파일 영역에 마우스 커서가 접근해도 피싱 사이트가 바로 노출되지 않고, 정상적인 첨부파일 다운로드 주소가 나타나도록 치밀하게 제작되었습니다..

피싱 공격 발신지는 162.216.224.39 IP 주소가 활용됐는데, Hide All IP VPN 서비스로 조사됐고, 명령 제어(C2) 서버는 ‘bigfilemail[.]net’ 주소가 사용됐다. 이와 연관된 사이버 위협 활동은 2021년 전후로 거슬러 올라갈 정도로 오랜 기간 유사 활동이 전개 중입니다.

특히, ESRC는 C2 서버를 분석하는 과정 중 ‘미안하지만 귀하가 요청한 파일은 용량제한에 의해 오유가 발생하였습니다’라는 문구를 포착했는데, 이 문장에 포함된 ‘오유’라는 단어는 ‘오류’의 북한 식 표기법으로 밝혀졌습니다. 이처럼 침해사고 위협 배후 조사과정에서 발견된 지표들은 행위자의 평소 습관이나 언어 문화 요소로 중요한 정황 단서 중에 하나입니다.

 

 

[그림 2] 코드 내 오타 확인



아울러 연말연시 기간 중 최신 HWP 악성 문서 파일도 꾸준히 발견되고 있는데, 대체로 ‘오브젝트 연결 삽입(OLE)’ 기능을 악용한 경우입니다. 위협 행위자는 OLE 패키지 내부에 은닉한 16진수 코드와 파워셸(PowerShell) 명령어의 조합을 통해 ‘work3.b4a[.]app’ 서버와 통신하도록 만들었고, 주로 북한 내부 정보처럼 위장한 미끼 내용으로 수신자를 현혹했습니다. 

악성 HWP 문서 파일이 열리면 ‘상위 버전에서 작성한 문서입니다.’ 라는 정상 안내 메시지와 동일하게 모방해 만든 가짜 문구를 띄우고, [확인] 버튼을 클릭 시 악성 배치 파일이 추가 작동하도록 만들었습니다.

 

 

[그림 3] 정상적인 알림창과 공격자가 만든 가짜 알림창



신년 들어 사이버 위협 배후가 北 소행으로 지목된 사례가 연일 발견되고 있습니다. 

 

올해는 대통령 선거 등 중요한 국가 행사나 일정이 많은 시기인 만큼 그 어느 때보다 사이버 안보 강화 노력이 중요한 시점입니다. 

 

사용자 여러분들 께서는 평소에 받던 이메일도 발신자나 내용을 꼼꼼히 확인하시고, 의심스러운 부분이 있다면 신뢰할 수 있는 보안업체나 관계자에게 확인요청을 하는 등의 적극적인 대응을 하시는것을 권고드립니다. 

 

현재 알약에 이미 관련된 악성파일을 업데이트를 완료하였고, 사이버 위협 정보를 한국인터넷진흥원(KISA) 등 관계당국과 긴밀히 공유해 기존에 알려진 위협이 확산되지 않도록 협력을 유지하고 있습니다.

 

 

IoC
162.216.224.39
bigfilemail[.]net
work3.b4a[.]app

 

 

 

 

 

 

관련글 더보기

댓글 영역