외교부 가판 뉴스로 위장한 이메일 해킹 공격 주의

 
 
기사공유
  • 카카오톡 공유
  • 카카오톡 공유
  • 네이버 블로그
  • 카카오스토리
  • 텔레그램 공유
  • url 공유
외교부 대변인실 표지의 가판 뉴스 내용을 사용한 정상 PDF 파일 /사진제공=이스트시큐리티
외교부 대변인실 표지의 가판 뉴스 내용을 사용한 정상 PDF 파일 /사진제공=이스트시큐리티

외교부에서 발행한 것처럼 위장한 악성 파일이 발견돼 관련 종사자들의 주의가 요구된다.

7일 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 이번 악성 파일은 이날 발행된 외교부 대변인실 표지의 가판 뉴스 내용이 담긴 PDF 파일을 활용해 이메일 수신자의 의심을 피하려 했다.

악성 파일 안에는 베이스64(Base64)로 인코딩된 데이터와 스크립트가 들어있다. 파일을 실행하면 C:ProgramData 경로에 ‘외교부 가판 2021-05-07.pdf’, ‘glK7UwV.pR9a’, ‘efVo8cq.sIhn’ 파일이 설치된다. 생성된 ‘glK7UwV.pR9’a파일은 C:ProgramDataSoftwareESTsoftCommon 경로에 이스트시큐리티의 모회사 이스트소프트에서 배포한 업데이트 파일처럼 위장한 64비트 악성 DLL 파일을 추가하고 호출한다.

이때 악성 DLL 파일은 감염 시스템의 정보 전송 및 명령 제어 기능을 수행한다. 재부팅해도 해당 파일이 자동 실행되도록 레지스트리 자동실행 항목에 등록하는 과정을 거친다. 이후 명령제어(C2) 서버에 'texts.letterpaper[.]press' 주소로 감염 시스템 정보를 유출시키며 공격자 의도에 따라 다양한 원격제어를 시도한다.

이스트소프트의 업데이트 파일로 위장한 파일 /사진제공=이스트시큐리티
이스트소프트의 업데이트 파일로 위장한 파일 /사진제공=이스트시큐리티

이스트시큐리티는 이번 공격을 수행한 배후 세력으로 북한 정부와 공식적으로 연계된 것으로 알려진 해킹조직 ‘탈륨(Thallium)’을 지목했다. 과거 탈륨 조직이 수행한 ‘블루 에스티메이트(Blue Estimate)’ 캠페인에서 사용된 악성 파일 기능과 동일하고 내부 문자열 암호화 방식도 일치하기 때문이다.

이스트시큐리티는 이번 공격이 지난달 발견된 ‘2021년 외교부 재외공관 복무 관련 실태 조사’를 사칭한 악성 이메일 공격의 연장선에 있는 것으로 보고 있다. 새롭게 발견된 악성 파일을 백신 프로그램 ‘알약’에 긴급 추가했고 후속 대응 조치를 관련 부처와 진행하고 있다.

문종현 ESRC센터장(이사)는 “최근 국내 포털 업체 고객센터를 사칭하거나 악성문서 파일을 첨부한 스피어피싱 공격이 기승을 부리고 워터링 홀 공격, 안드로이드 스마트폰 이용자 대상 공격까지 가세하는 상황”이라며 “북한 당국과 연계된 것으로 널리 알려진 탈륨과 라자루스, 금성121 조직의 사이버 공격 수위가 동시에 증대되고 있어 유사 위협에 노출되지 않도록 민관의 각별한 주의와 관심이 요구된다”고 말했다.
 

팽동현
팽동현 dhp@mt.co.kr  | twitter facebook

열심히 하겠습니다. 감사합니다.

이 기자의 다른기사 보기 >
  • 0%
  • 0%
  • 코스피 : 3249.32상승 24.6818:01 06/11
  • 코스닥 : 991.13상승 3.3618:01 06/11
  • 원달러 : 1110.80하락 518:01 06/11
  • 두바이유 : 72.69상승 0.1718:01 06/11
  • 금 : 71.18상승 0.4718:01 06/11
  • [머니S포토] '국민의힘 30대 당대표 탄생'
  • [머니S포토] 더불어민주당 코로나19 줄확진 '올스톱'
  • [머니S포토] 공수처 수사 관련 발언하는 김기현 권한대행
  • [머니S포토] 캐딜락 5세대 에스컬레이드, 압도적인 존재감
  • [머니S포토] '국민의힘 30대 당대표 탄생'

커버스토리

정기구독신청 독자의견