남북과 러시아 투자문서 사칭한 악성 이메일 발견 주의보

김진수 기자 / 기사승인 : 2019-09-27 11:55:28
  • -
  • +
  • 인쇄
▲ [source=pixabay]

[IT비즈뉴스 김진수 기자] 한국과 북한, 러시아와의 무역·경제관계에 대한 투자문서를 사칭한 악성 이메일이 발견돼 주의가 요구된다. 해당 공격은 기존에 보고된 바 있는 코니(Konni) 시리즈와 유사성을 띄고 있는 것으로 분석됐다.


27일 이스트시큐리티에 따르면, ‘남-북-러’ 무역과 경제 관계에 관한 투자 문서를 사칭해 악성파일이 유포된 정황이 포착됐다. 이번 공격은 악성파일을 첨부한 이메일을 특정 대상에게 발송하는 스피어피싱(Spear Phishing) 공격 방법이 사용됐다.

공격에 사용된 이메일에는 ‘Россия – КНДР – РК – торгово-экономические связи – инвестиции.doc’라는 러시아어로 작성된 악성 파일이 첨부된 것으로 확인됐다. 이를 한국어로 번역하면 ‘러시아-북한-대한민국-무역 및 경제 관계-투자.doc’로 무역이나 투자 관련 종사자를 대상으로 배포된 것으로 보인다.

또 해당 공격에 사용된 MS워드 문서 형식(*.doc)의 악성파일은 한국어 기반 환경에서 제작된 것으로 분석됐다.

문서 파일을 실행하면 글꼴 색상이 백색으로 지정돼 빈 문서로 보이며 ‘러시아어 텍스트로 설정된 언어 교정 도구 없음’이라는 알림과 콘텐츠 차단 보안 경고창이 나타난다. 콘텐츠 사용 버튼을 클릭해야 확인할 수 있는 것으로 유도하는 수법이 사용됐다.

사용자가 콘텐츠 사용을 허용하면 공격자가 사전에 설정해둔 매크로 언어인 VBA(Visual Basic for application) 코드가 실행되고 수차례에 걸쳐 또 다른 악성파일을 자동으로 내려받고 해커의 명령을 수행하게 한다.
 

▲ 빈 문서로 보이게 백색 폰트로 작성된 악성문서 [사진=이스트시큐리티]

이스트시큐리티시큐리티대응센터(ESRC)는 해당 공격에 사용된 악성 파일을 분석한 결과 공격 벡터 등 여러 요소에서 기존에 보고된 코니(Konni) 시리즈와의 유사점이 있음을 확인했다고 밝혔다.

실제로 지난 달에는 이번 공격과 유사하게 러시아어로 작성된 ‘한반도의 상황과 미국과 북한의 대화전망.doc’ 악성파일을 활용한 코니(Konni) APT 조직의 공격이 포착된 바도 있다.

코니(Konni) 시리즈는 수년 간 지속적으로 발견되는 위협사례 중 하나다. 이 시리즈를 유포하는 코니(Konni) APT 조직은 특정 정부가 배후에 있는 것으로 알려진 사이버 해킹 조직인 ‘김수키(kimsuky)’ 그룹과 연관돼 있다고 보안업계는 추정하고 있다.

 

[저작권자ⓒ IT비즈뉴스. 무단전재-재배포 금지]

  • 글자크기
  • +
  • -
  • 인쇄
뉴스댓글 >

주요기사

+

많이 본 기사

마켓인사이트

+

컴퓨팅인사이트

+

스마트카

+

PHOTO NEWS