통일부 사칭, 北 연계 APT와이즈 토토 등장… ‘사이버 와이즈 토토 주의 업무로 둔갑’

​

최근통일부정착지원과의모사무관이발송한업무내용처럼위장한해킹이메일와이즈 토토이등장해각별한주의가필요합니다.

이번스피어피싱와이즈 토토은08월12일한국의대북분야종사자를상대로진행됐고,이메일에는“최근유명인사를노린사이버와이즈 토토이전방위로진행되고있어사이버안전에유의를부탁한다”는본문과함께첨부된‘210811_업무연락(사이버안전).doc’악성문서파일을열어보도록유인하는특징이있습니다.

최근국내사이버보안위협이가중되고,민관사이버위기경보가‘정상’에서‘관심’단계로격상됨에따라와이즈 토토자가이점을노린것으로파악되며,분석결과이번통일부사칭으로유포된DOC문서파일내부에악성매크로코드가숨겨진것이발견됐고,국내특정고시학원사이트를침투해추가명령제어(C2)거점으로활용한사실이드러났습니다.

이메일에서 내려 받은 DOC 문서를 열면, 악성 매크로 명령 수행을 위해 와이즈 토토자가 허위로 만들어 삽입한 가짜 MS 오피스 호환성 문제 화면이 나옵니다. 그리고 실제 MS 오피스 보안 기능으로 사전 중지된 [콘텐츠 사용] 버튼을 클릭해야만 정상적인 콘텐츠를 볼 수 있다고 유도합니다.

이때만약사용자가[콘텐츠사용]버튼을누르면해킹명령이은밀하게작동하기때문에보안경고타이틀에있는[콘텐츠사용]버튼을절대로클릭하지않는보안습관이무엇보다중요합니다.

유사한와이즈 토토이지난5월에도발생했으며,당시사용된일명‘사이버스톰작전’과동일한계열의코드분석결과북한연계해킹조직‘탈륨’이위협배후로최종지목된바있습니다.

또한,이번위협은‘탈륨’의대표적인3대위협중하나인‘스모크스크린’캠페인의연장선으로,이들조직은최근PDF취약점와이즈 토토과함께DOC악성문서와이즈 토토까지갈수록사이버위협이거세지고있습니다.

국내에서암약하는대표적인사이버위협조직‘탈륨’은최근까지국내전·현직고위정부인사등을상대로해킹와이즈 토토을시도해왔고,얼마전에는국내유명방송및언론사의주요간부나국장급을상대로PDF취약점(CVE-2020-9715)와이즈 토토을수행했습니다.

아직도PDF유형의공문서파일은보안상안전하다는인식이있어,더욱더세심한주의가필요하며항시최신버전으로업데이트를유지해유사한보안위협에노출되지않도록철저한대비가필요한상황입니다.

현재알약에서는해당악성코드를Trojan.DOC.574976A탐지명으로진단하고있으며,관련상세분석보고서는ThreatInside웹서비스구독을통해확인하실수있습니다.