남북한과 러시아 3개국 투자 관련 문서를 사칭한 악성 파일이 유포되고 있어 각별한 주의가 필요하다.
보안업체 이스트시큐리티는 ‘남-북-러’ 무역과 경제 관계에 관한 투자 문서를 사칭해 악성파일을 유포하는 공격 정황이 국내에서 발견됐다고 27일 밝혔다.
이번 공격은 악성 e메일을 특정 대상에게 발송하는 전형적인 스피어피싱(Spear Phishing)으로, e메일에는 ‘Россия - КНДР - РК - торгово-экономические связи - инвестиции.doc’ (러시아-북한-한국 - 통상 경제관계-투자)라는 러시아어로 작성된 악성 파일이 첨부됐다. 국내에서는 러시아어 파일이고, 그 의미도 쉽게 파악하지 못해 실행할 가능성은 적지만, 최소한의 주의가 요구된다.
공격에 사용된 MS워드 문서 형식(*.doc)의 악성파일은 한국어 기반 환경에서 제작된 것으로 분석됐다. 파일을 실행하면 글꼴 색상이 백색으로 지정돼 빈 문서로 보이는 화면과 함께, ‘러시아어 텍스트로 설정된 언어 교정 도구 없음’이라는 알림과 콘텐츠 차단 보안 경고창이 나타난다. 이는 경고창의 ‘콘텐츠 사용’ 버튼을 클릭해야만 파일의 내용을 읽을 수 있는 것처럼 유도해 사용자가 ‘콘텐츠 사용’을 허용하게 된다면 공격자가 사전에 설정해둔 매크로 언어인 VBA 코드가 실행된다. 이후 수차례에 걸쳐 또다른 악성파일을 자동으로 내려받고 해커의 명령을 수행한다고 이스크시큐리티는 전했다.
공격자는 코니(Konni) APT 조직이 지목됐다. '코니' 시리즈는 수년간 지속적으로 발견되는 위협 중 하나로, 특정 정부가 배후에 있는 것으로 알려진 사이버 해킹 조직 ‘김수키’ 그룹과 밀접한 연관이 있는 것으로 추정되고 있다.
이스트시큐리티 시큐리티대응센터(ESRC)는 보안 백신 알약(ALYac)에서 공격에 사용된 악성파일을 탐지명 ‘Trojan.Downloader.DOC.Gen’, ‘Trojan.Agent.3584’ 등으로 차단할 수 있도록 업데이트를 완료했다고 밝혔다.
