북한 평양과학기술대학 총장을 사칭한 북한 연계 해킹조직의 공격이 추가로 발견돼 주의가 요구된다.

12일 이스트시큐리티에 따르면, 이번에 발견된 공격은 이달 8일 보고된 외교·안보·국방 분야 전문가를 겨냥한 표적공격과 마찬가지로 ‘CVE-2021-40444‘ 취약점이 동일하게 사용됐다.

위협 조직이 이 취약점을 적극적으로 사용하고 있어 MS오피스 사용자들은 최신 버전으로 즉각 업데이트해야 피해를 사전에 예방할 수 있다.

이스트시큐리티 시큐리티대응센터(ESRC)가 분석한 결과, 이 악성파일 제작자는 꾸준히 ‘POSEIDON’ 계정을 사용하고 있으며, 인터넷에 공개된 ‘CVE-2021-40444’ 취약점의 개념증명(PoC) 코드를 일부 재활용한 정황도 발견했다.

공격 대상자가 MS오피스 최신 보안 업데이트를 설치하지 않은 상태에서 해당 DOCX 문서를 열어 보안 취약점이 작동되면 ‘officeversion.mywebcommunity[.]org’ 인터넷 주소로 통신을 시도하고 공격자가 지정한 추가 명령에 따라 악성 스크립트가 실행된다.

악성 스크립트가 정상 작동되면, 다음 단계로 ‘msoffices.atwebpages[.]com’ 주소로 연결되고, 후속 명령에 따라 공격자가 개설한 특정 구글 블로그로 접속을 시도한다. 분석 환경 노출이나 탐지 회피 목적 등 일정부분 시차 간격을 두고 연결하는 치밀함도 보였다. 

이후 블로그 게시 글에 포함된 명령에 따라 사용자 컴퓨터 정보를 수집해 공격자 서버로 은밀히 탈취하는 과정을 거친다.

ESRC는 앞서 8일 보고한 싱크탱크 행사를 사칭해 국방·안보 분야 전문가를 공격한 것과 마찬가지로 이번 사례 역시 북한 정찰총국 연계 해킹조직 소행으로 분류, ‘POSEIDON’ 계정이 동일하게 사용된 것을 확인했다.

배후로 지목된 북한 사이버위협 조직이 ‘CVE-2020-9715‘, ‘CVE-2021-40444’ 등 맞춤형 표적 공격에 PDF, DOC 파일과 같은 문서 기반 보안 취약점을 도입하고 있어 보안 정책 관리가 중요한 시점이다.

이스트시큐리티 ESRC는 “국내에서 최신 보안 취약점을 이용한 APT공격이 지속 포착되고 있어 사용하고 있는 운영체제(OS)와 응용프로그램은 항상 최신 버전으로 유지하는 노력이 필요하다”고 주의를 당부했다.