북한 연계 해킹그룹으로 알려진 탈륨의 새로운 APT 해킹공격이 포착돼 주의가 요구된다.

28일 이스트시큐리티에 따르면, 발견된 공격은 이메일에 악성파일을 첨부해 보내는 전형적인 스피어 피싱 공격 기법과 달리 최근 있었던 시사·정치뉴스로 가장해 본문의 URL링크주소 클릭을 유도하는 사회공학적 피싱 수법이 쓰였다.

먼저 위협행위자는 북한 분야에서 활동하는 대북 전문가들을 주요 표적 삼아 이번 공격을 수행했다. 고 노태우 전 대통령의 법적 사위인 최태원 회장이 서울대병원 장례식장에 위치한 빈소를 찾아 조문하고 미국 출장 길에 오른다는 뉴스로 위장했다.

이스트시큐리티 시큐리티대응센터(ESRC)의 확인 결과 이 공격에 사용된 문구와 조작된 가짜 사이트 화면은 실제 모 언론사의 실제 뉴스 내용을 그대로 무단 인용한 것으로 확인됐다.

공격에 사용된 이메일은 보낸 사람과 주소가 “네이버 뉴스<news@navercorp.corn>”로 조작됐으나 실제 발신지는 불가리아 이메일 서비스(mail.bg)였다.

이 서비스는 북한과 연계된 사이버 위협 조직이 그간 여러 차례 사용한 바 있다. 이메일 주소도 닷컴도메인(com)이 아니라 ‘c o r n’으로 위장했다.

이메일 본문에는 링크가 2개 포함돼 있고 모두 ‘nid.livelogin365.in[.]net’이라는 해외 서버로 접속을 유도한다. 이 주소로 접근된 사용자의 IP주소 및 웹 브라우저 등 일부 정보가 노출될 가능성이 있고, 공격자의 의도에 따라 추가 악성파일이 설치될 수도 있다.

그간 북한 정찰총국과 연계된 것으로 널리 알려진 동일 위협 행위자들은 악성 매크로 명령을 삽입한 DOC, XLS 문서나 PDF 취약점(CVE-2020-9715) 공격을 주로 사용했으나 이번에는 이메일 본문에 가짜 링크를 넣어 클릭 유무를 체크하고, 외부에 위협행위가 감지되는 것을 최소화하기 위한 정찰 단계가 관측된 점이 주목된다.

ESRC 분석에 의하면 공격의 배후는 미국 마이크로소프트(MS)에서 명명한 북한 연계 해킹그룹인 탈륨의 소행으로 지목됐고, 대북 분야 활동가를 겨냥한 페이크 스트라이커 캠페인 일환으로 나타났다.

ESRC센터장 문종현 이사는 “사회적으로 관심이 집중된 실제 뉴스를 활용해 수신자로 하여금 호기심을 유발하고, 악성 링크에 접근하도록 유인하는 지능적인 해킹 수법으로 북한 분야 종사자들을 지속 노리고 있다”고 주의를 당부했다.