'북한비핵화’ 낚시터 토토 내용 담은 악성문서 유포

​

오는21일열리는한미정상회담을계기로북미대화재개가능성이조심스럽게나오는가운데,북한배후해킹그룹‘탈륨(Thallium)’이활발하게활동중인정황이발견돼대북낚시터 토토전문가와관계자의각별한주의가요구됩니다.

최근탈륨조직의‘제헌절국제학술포럼’,‘낚시터 토토컨트롤타워구축(안)’등으로위장한피싱공격이탐지되었습니다.

제헌절국제학술포럼은7월27일진행일정의포럼내용을담고있으며,개회식내용에통일부와외교부장관이름이포함돼있고,‘한반도평화·통일교두보-북중러접경국제공항및배후단지조성방안’이라는낚시터 토토이담겨있습니다.

이러한유형은신뢰할만한문서내용처럼수신자를현혹하는전형적인스피어피싱공격으로,‘낚시터 토토컨트롤타워구축(안)’이라는제목의문서는‘핵물질·시설검증에필요한국내인적·기술자원동원방안’이라는제목으로,관련산하기관으로산업자원부,과기정통부,국방부,원자력안전위원회등의내용이포함돼있습니다.

탈륨은우리나라에서3가지중요한APT캠페인을벌이고있으며,▲대북언론기자와북한인권분야활동관계자를노리는스모크스크린(SmokeScreen)▲국내외방위산업체,비트코인거래소,코로나19낚시터 토토제약회사,교육연구분야등을타깃으로하는블루에스티메이트(BlueEstimate)▲대북단체,외교·안보·국방·통일분야전문가를주요표적으로삼는페이크스트라이커(FakeStriker)로구분됩니다.모든캠페인에서북한분야연구및활동가들이모두위협대상에포함됩니다.

이들은북한식언어스타일과폰트(천리마체),이름(리영민)등을사용한것이포착된바있고,스피어피싱과공급망공격을함께쓰며,윈도우운영체제뿐만아니라안드로이드와맥용낚시터 토토파일을유포한이력도발견됐습니다.전문가들은탈륨조직의정교하고고도화된사이버위협활동이증가하고있어피해가능우려가높아지고있다고경고합니다.

이들은주로이메일기반의해킹공격을주무기로사용하지만,종종공급망공격을함께수행하기도하며안드로이드스마트폰이용자를노린모바일공격도함께수행하고있으므로각별한주의가필요하며특히외교·안보·국방·통일및대북분야종사자들은경감심을높여항상대비하는자세와노력이요구되며민관의긴밀한대응이필요합니다.

현재 이스트시큐리티 알약(ALYac)에서는 해당 낚시터 토토코드 샘플을'Trojan.Downloader.DOC.Gen,Trojan.Downloader.Script.gen,Trojan.Agent.111616K'로 탐지 중이며 관련된 IoC는 쓰렛 인사이드(Threat Inside)에서 확인하실 수 있습니다.