본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

국제 행사 동시 낚시터 토토 겨냥한 北 연계 해킹 시도 등장

낚시터 토토공지 2022-01-27


낚시터 토토


국제 행사 동시 낚시터 토토 겨냥한 해킹 시도가 발견되어 사용자들의 각별한 주의가 필요합니다.

ESRC는 최근 북한 연계 낚시터 토토 조직의 소행으로 분류된 새로운 사이버 위협 활동을 다수 포착하였습니다.

낚시터 토토
[그림 1]학술세미나 동시 낚시터 토토 의뢰로 위장한 해킹 이메일 실제 사례들 화면


새로 발견된 공격은 마치 국제 행사의 동시 낚시터 토토을 의뢰하는 것처럼 조작된 해킹 이메일을 다수의 낚시터 토토 분야 종사자들에게 전송한 것이 특징입니다.

이처럼 낚시터 토토 집중 겨냥한 표적 공격 사례는 매우 이례적으로 영어, 중국어, 러시아어에 능통한 통역사들이 위협 대상에 대거 포함되었습니다.

ESRC는 특정 낚시터 토토 대상 공격 의도를 정확히 규명하기 위해 다각적 분석을 면밀히 진행 중이며, 측면 공격루트를 확보하기 위한 다단계 침투 시나리오 등 모든 가능성을 염두에 두고 조사를 진행중에 있습니다.

실제 사이버 공격에 사용된 이메일을 살펴보면 크게 3가지 유형이 확인됐는데, 낚시터 토토 언어(영어, 중국어, 러시아어)에 따라 본문 내용과 첨부파일 표현이 조금씩 다르게 적시됐고, 그 외 일본어 사용 징후도 일부 관측되었습니다.

공격자는 행사 일정에 참여가 가능한지 여부를 먼저 묻고, 그 다음 첨부된 문서 내용 중 어느 부분의 낚시터 토토을 맡아줄 수 있는지 회신을 요구하며 자연스럽게 첨부 문서 내용을 클릭하도록 유도했습니다.

하지만 첨부 파일을 클릭해도 문서는 전혀 받아지지 않고, 마치 중요한 전자문서 인증용 보안 화면처럼 꾸며진 특정 웹 사이트를 보여주고, 이메일의 비밀번호를 입력해야 전자문서를 볼 수 있는 것처럼 현혹합니다. 만약 이곳에 비밀번호를 입력하면 낚시터 토토 계정 정보가 외부로 은밀히 유출됩니다.

낚시터 토토
[그림 2]포털 전자문서 서비스로 위장한 악성 사이트 화면


만약비밀번호가입력될경우,공격자는피해자에게추가이메일을따로보내답신이늦어죄송하다는말과함께,낚시터 토토에응해주어감사하지만코로나급증으로인해행사가미뤄졌다는식으로일정을잠정연기하고대화를마무리하는치밀함을보입니다.결국피해자는정상적인낚시터 토토의뢰이메일로믿고,자신의비밀번호가외부에노출된것을인지하기어렵게됩니다.

ESRC의 분석결과, 이번 비밀번호 탈취에 사용된 해외 거점(accounts.nidnavercorp.cloudns[.]nz) 주소가 작년 12월에 이미 ‘블록체인협회를 사칭한 공격’과 ‘미국 국무부의 한반도 평화 달성을 위한 북한과의 외교 전념 언론 보도로 위장한 공격’ 사례와 정확히 일치하는 것이 확인되었습니다.

특히, 이번 전자문서로 위장한 사이트로 암호가 유출될 경우 사용자를 속이기 위한 목적으로 워드 파일을 내려주는데, 내려 주는 일부 워드파일에서 실제 악성코드가 확인되었으며 이는 기존 북한 연계 낚시터 토토 조직이 사용하던 매크로 코드와 감염 수법이 100% 동일하였습니다.

[그림 3]DOC 문서에 포함된 공격자 고유 아이디 화면


더불어 이번 공격에서 공격자가 과거부터 꾸준히 사용하던 고유 아이디 ‘zhaozhongcheng’, ‘Venus.H’, ‘Naeil_영문시작’ 등이 모두 발견됐습니다. ‘zhaozhongcheng’ 계정은 지난 2019년 ‘김민관 부부장 토론문.hwp’ 악성 파일에서 사용됐고, ‘Venus.H’ 계정의 경우 이미 2019년 ‘북한의 회색지대 전략과 대응방안.hwp’ 악성 파일에서 발견된 바 있는데, 모두 北 배후 소행으로 분류된 침해 지표들입니다.

해당 사이버 안보위협 조직은 그동안 주로 외교·안보·국방·통일 및 대북 분야 종사자를 상대로 사이버 작전을 전개해 왔습니다. 하지만 이번처럼 국제 낚시터 토토 집중적으로 공격한 경우는 이전까지 전혀 보고된 바 없었기에 이들의 의도를 명백히 파악하는데 역량을 집중하고 있습니다.


동시 낚시터 토토들이 외교·안보·국방·통일 분야 국제 컨퍼런스나 다양한 정부 행사에 직접 참여하는 경우도 있어, 北 연계 위협 조직들이 이점을 노린 가능성과 주요 인물에 접근하기 위한 사전 초기 침투 과정으로 추정됩니다.

사용자 여러분들은 평소에 보지 못했던 발신자가 보낸 이메일을 열어볼 때 항상 주의하고, 이메일 내 링크 혹은 파일을 통해 특정 웹페이지에 접속되었다면 반드시 url 주소를 확인해야 합니다.

이스트시큐리티는이와관련된악성파일을알약(ALYac)백신프로그램에업데이트를완료하였고,사이버위협정보를한국인터넷진흥원(KISA)등관계당국과긴밀히공유해기존에알려진위협이확산되지않도록협력을유지하고있습니다.

※ IoC 정보

accounts.nidnavercorp.cloudns[.]nz
03da25ae8b98ae05b2a18e61ebb88d08
c73225f976100ab972934f31b61eabcc


이스트토토 커뮤니티 개인 | 공지사항