14일 이스티시큐리티 시큐리티대응센터(ESRC)에 따르면, 해당 공격에 사용된 악성문서(DOC) 파일은 이달 6일(현지시간) 미 워싱턴DC 국익연구소의 ‘2020년 대북 전망 세미나 관련 질의응답 내용’ 등을 담고 있다.
해당 DOC 문서파일을 열면 MS워드 프로그램 상단에 보안 경고창이 뜨고 문서를 정상적으로 보기 위해 경고창의 ‘콘텐츠 사용’ 버튼을 누르도록 유도하고 있다.
공격은 실제 지난 6일(현지시간) 미국 싱크탱크 국익연구소가 워싱턴DC에서 2020년 대북 전망을 주제로 한 세미나를 진행한 것으로 알려졌다. 공격자가 마치 해당 세미나 내용처럼 위장해 지능형지속위협(APT) 공격을 수행한 것으로 판단된다. 실제 발견된 악성 문서 파일명은 ‘문정인 대통령 통일외교안보특보 미국 국익센터 세미나.doc’다.
수신자가 해당 문서를 실행하고 매크로 사용을 허용할 경우 특정 서버에서 추가 악성코드를 설치하고 사용자 PC의 시스템 정보와 최근 실행 목록, 프로그램 리스트 등 다양한 정보를 수집하며, 공격자의 추가 명령을 대기하는 좀비PC로 인한 2차 피해로 이어질 가능성이 높다. 다만 스크립트 형식에 일부 알파벳 오타가 있어 명령어가 제대로 수행되지 않는 경우도 존재한다.
ESRC 문종현 이사는 “해당 공격은 지난해 4월에 공개된 바 있는 한미 겨냥 APT 캠페인(스모크 스크린)의 사이버위협 연장선의 일환으로 HTA 악성 스크립트를 통해 1차 침투를 수행한다”며 “특정 정부의 지원을 받는 것으로 알려진 김수키(Kimsuky) 조직의 이전 공격과 악성코드 제작 기법, 공격 스타일 등이 대부분 동일해 같은 조직의 소행으로 추정된다”고 말했다.
이외에도 지난 2019년 10월 동일한 APT 공격자가 북한 난민 구출요청처럼 위장한 내용으로 스피어피싱 공격을 수행한 바 있다. 공격에 사용된 악성 문서파일을 작성한 계정은 이번 공격에 사용된 것과 동일한 것으로 파악됐다.