북한 탈륨 그룹, 구글 블로그 이용한 해킹 합법 토토 수행
최근한국공공기관을노린북한연계해킹그룹의합법 토토이계속발견되고있는가운데,이번에는김수키의구글블로그를활용한해킹시도가급증하고있어각별한주의가필요합니다.
지난 28일 수행된 이번 합법 토토은 학술대회 참가 양식처럼 위장된 MS Word 문서 파일로 마치 보안 문서처럼 암호가 설정되어 있지만, 이는 보안 프로그램의 탐지를 회피하기 위한 목적으로 사용됩니다. 해당 문서는 전형적인 악성 매크로 기법이 적용돼 있고, ‘콘텐츠 사용’ 버튼을 허용할 경우 악성코드가 실행됩니다.
분석에의하면,악성코드가작동하면국내중소합법 토토의홈페이지(daewon3765.○○○[.]com)와1차통신을시도하고,그다음공격자들이구축한특정구글블로그와2차통신을수행한것으로드러났습니다.
악성문서는국내명령제어(C&C)서버통신을통해정상파일처럼위장한‘desktop.ini’파일을생성하고,시작프로그램폴더에‘iexplore.exe.lnk’바로가기파일을추가은닉해컴퓨터가부팅시마다자동실행되도록함으로써합법 토토지속성을확보했습니다.이후,‘desktop.ini’파일은합법 토토자가구축한구글블로그에접속을시도하는데,이코드가사용자의시스템정보유출을담당합니다.
전송되는정보에는사용자이름,OS버전,오피스버전,현재실행중인프로세스목록,최근사용한문서목록,데스크톱문서목록등이포함되며,수집된정보는국내서버(daewon3765.○○○[.]com/about/post/info.ph)로전송됩니다.
합법 토토자들은보안관제와탐지를회피하기위해구글공식블로그(kaisjovtnal.blogspot[.]com)를해킹명령거점으로악용하는등갈수록치밀한수법을동원하고있습니다.
최근포착된유사사례들을종합분석한결과,북한당국의지원을받아활동하는합법 토토조직‘김수키(탈륨)’는외교·안보·통일·국방분야종사자를대상으로지속적인합법 토토시도를수행하고있으며,최근보고되는방위산업체합법 토토이슈도동일한조직이수행한것으로지목됐습니다.
국책연구원이나방위산업체뿐만아니라민간분야세미나및학술대회참가신청서등으로사칭한탈륨조직의위협캠페인이급증하고있어유사위협에노출되지않도록민관차원의각별한주의와관심이요구됩니다.또한공식블로그를명령제어서버로활용하는합법 토토방식이최근여러차례목격되고있어,이에대한방어전략이필요합니다.
현재 알약에서는 해당 악성코드를Trojan.Downloader.DOC.Gen,Trojan.Agent.827680T탐지 명으로 진단하고 있으며, 관련 상세 분석 보고서는 Threat Inside 웹서비스 구독을 통해 확인하실 수 있습니다.
