▲ UNC2970이 사용한 미끼 문서
글로벌 사이버 보안 기업이자 구글 클라우드 파트너인 맨디언트는 미국과 유럽의 보안 연구원을 상대로 새로운 방식의 사이버 공격을 하는 북한 해킹그룹을 발견해 추적 관찰 중이라고 오늘(15일) 밝혔습니다.
맨디언트는 북한 스파이 그룹 'UNC2970'을 지난해 6월부터 추적해 왔는데, 최근에는 채용을 미끼로 하는 '스피어 피싱' 이메일을 사용하는 것으로 파악됐다고 설명했습니다.
채용 담당자로 가장한 가짜 계정을 이용해 '링크드인'에서 타깃에 접근하는 방식입니다.
스피어 피싱은 특정 개인이나 단체 등 공격 대상을 미리 정하고 시도하는 피싱을 뜻합니다.
맨디언트는 "UNC2970은 소개 사진, 경력, 자격, 능력 등의 정보를 정교하게 조작한 합법적인 사용자의 링크드인 계정들을 관리했다"며 "이들 계정을 사용해 잠재적 피해자와 왓츠앱으로 관계를 이어가며 이메일 또는 왓츠앱 메신저를 통해 페이로드(전송 데이터)를 전달했다"고 밝혔습니다.
UNC2970이 피해자에게 전달한 압축 파일에는 입사 지원자의 기술 평가 테스트를 위한 원격 제어 프로그램이 포함됐고, 해당 프로그램에는 트로이 목마가 삽입됐습니다.
피해자가 뷰어를 설치하려고 파일을 실행하면 공격의 발판이 마련됩니다.
또 UNC2970이 주로 사용하는 피싱 페이로드는 원격 템플릿 삽입을 통해 C2(Command & Control) 서버에서 페이로드를 다운로드하고 실행하는 매크로가 포함된 마이크로소프트 워드 문서로 파악됐습니다.
UNC2970이 사용한 C2 서버는 손상된 워드프레스 기반 사이트였는데, 이는 다른 북한 공격 그룹의 활동에서도 찾을 수 있는 패턴이라고 맨디언트는 설명했습니다.
맨디언트는 "새롭게 발견된 해킹 툴은 도난당한 암호화폐가 어떻게 북한 작전 자금에 지원됐는지 시사한다"면서 "UNC2970은 미국과 유럽의 보안 연구원을 주된 공격 대상으로 삼았지만, 이번 활동의 성공 여부를 판단할 충분한 데이터는 아직 수집되지 않았다"고 했습니다.
(사진=맨디언트 제공, 연합뉴스)
동영상 기사
동영상 기사
동영상 기사
동영상 기사
동영상 기사