지니언스 시큐리티 센터에서 위협분석 보고서를 발간했습니다. 이 보고서는 최신 사이버 위협과 취약점을 조사하고, 신속한 대응과 예방을 위한 정보를 제공합니다. (전문보기 아래 링크)
○ 지난 4월부터 5월까지 지니언스 시큐리티센터는 APT37(RedEyes, Group123) 그룹명으로 알려진 북한 연계 위협 행위자가 악성 MS Word DOC 문서 파일과 LNK 바로 가기 파일 형식으로 공격 시도하는 정황을 다수 포착했습니다.
○ 국내 북한인권분야의 단체장 정보로 위장해 또 다른 대북분야 대표를 표적삼아 악성 파일을 담은 이메일 기반 스피어 피싱 공격을 수행했으며, 유사한 공격이 지속되고 있는 중입니다.
○ APT37 그룹은 FireEye에서 명명한 북한 배후 해킹 조직으로, 2012년 전후 부터 다양한 사이버 첩보 활동에 가담 중입니다.
○ 이들 그룹은 북한 정권에 유리한 첩보 입수 목적의 정찰 활동이 주요 임무 중에 하나이며, 한국내 공공 및 민간분야를 가리지 않고 광범위한 해킹 활동을 전개 중입니다.
○ 이들 그룹은 이메일 기반 스피어 피싱 공격을 주로 사용하지만, 웹 기반의 워터링 홀 공격이나 SNS 또는 토렌트 사이트를 이용한 무작위 침투, 안드로이드 스마트폰 이용자를 노린 표적 공격까지 다양한 전술 전략을 구사합니다.
○ 과거에는 HWP 문서 취약점, SWF Flash Player 제로데이(CVE-2018-4878) 등 다양한 보안 취약점을 빠르게 선점해 실전 공격에 도입 적용했을 정도로 취약점 공격에 매우 능동적인 양상을 보였습니다.
○ 초기 시절에는 AOL 인스턴트 메신저(AIM)를 C2 서버 통신체계로 사용했지만, 이후에는 스트림네이션(Streamnation)과 피클라우드(pCloud), 얀덱스(Yandex), 드롭박스(Dropbox), 원드라이브(Onedrive) 등 각종 클라우드 스토리지 API와 Back4app Backend as a Service (BaaS, 서비스형 백엔드)를 C2로 활용하는 공통된 특징이 관찰됩니다.
○ 다양한 무료 이메일 서비스(Hotmail, Zmail, India, Gmail, Yandex, Aol)에 가입해 활동하는데, 한글 표현을 영문으로 변환해 비밀번호로 사용한 경우가 존재하고, 일부는 북한식 단어 표기법(쌀튀기)과 평양 IP 주소가 접속 로그로 발견된 바 있습니다.
○ 실제 공격에 쓰인 악성파일은 대체로 정보 탈취형(InfoStealer) 기능과 원격 제어(Backdoor) 형태가 다수이지만, 물리 디스크 MBR 영역을 손상시키는 파괴형 Wiper 코드가 유포된 사례가 존재합니다.
○ 공격자는 스피어피싱 공격 과정에 연결되는 클라우드 서버 내 악성파일 링크를 시차간격에 따라 정상파일로 변경하는 교란 및 기만전술을 펼치고 있습니다. 이 때문에 분석 조사 시점에 따라 공격 수법 은폐가 가능합니다.