북한 정부가 배후로 추정되는 '김수키' 해킹조직이 미국 국무부 서신을 위장한 지능형지속위협(APT) 공격을 감행한다.
이스트시큐리티 시큐리티대응센터(ESRC)는 3일 '비건 미 국무부 부장관 서신 20200302'라는 파일명을 가진 신종 공격을 발견했다. 분석 결과 지난달 26일 포착된 코로나19 관련 스피어 피싱 공격('스모크 스크린')과 동일한 공격으로 확인됐다.
'스모크 스크린' 분석 당시 ESRC는 이 공격에 쓰인 전략·기술·절차(TTP)가 '김수키' 해킹조직이 사용하는 수법으로 결론 내렸다.
'김수키'는 최근 들어 한글(.hwp) 취약점 문서보다 워드(.doc) 문서 매크로 기능을 더욱 활발하게 활용하는 흐름을 보인다.
이번 공격에 쓰인 워드 문서는 '스모크 스크린' 악성 파일과 동일한 매크로 허용 유도 디자인을 그대로 재활용했다. 이용자가 보안 경고창에 나타난 '콘텐츠 사용' 버튼을 클릭하면 매크로 코드가 실행, 공격자가 지정한 명령 제어(C2) 서버로 접속을 시도한다. 공격에 당하면 정보 유출, 키로깅 등 개인정보 유출 피해를 입을 우려가 있다.
알약은 이 악성코드를 'Trojan.Downloader.DOC.Gen' 등으로 탐지하고 있다.
오다인기자 ohdain@etnews.com