2024-03-28 23:40 (목)
대북관련 기관 타깃 이력서 위장 APT 공격 포착...공격 수행한 조직은 '금성121'
상태바
대북관련 기관 타깃 이력서 위장 APT 공격 포착...공격 수행한 조직은 '금성121'
  • 길민권 기자
  • 승인 2019.03.20 14:17
이 기사를 공유합니다

'로켓맨 APT 캠페인, '오퍼레이션 골든 버드(Operation Golden Bird)'로 명명

E-1.jpg
2019년 3월 18일, 마치 이력서 원본을 보내는 것처럼 위장한 APT 공격이 발견됐다. 주로 한국의 대북관련 분야에 활동하는 인사들에게 공격이 집중된 것으로 파악돼 각별한 주의가 요구된다.

공격을 수행한 '금성121(Geumseong121)' 위협조직은 이메일에 악성 파일을 첨부해 발송하는 이른바 스피어 피싱 공격기법을 활용했고, 암호화된 압축 파일을 사용해 1차 탐지회피를 계획한 나름 투트랙 피싱 전략을 구사했다.

실제 공격에 사용된 해킹 공격 이메일은 다음과 같고, 마치 원본 메일이 전달된 것으로 위장했다.

E-2.jpg
이스트시큐리티 ESRC는 "한국에서 발생한 최신 APT 공격을 추적하는 과정에서 '특정 정부의 후원을 받는 위협조직'이 이번 미션에도 관여된 것을 확인했고 공격자가 사용한 일부 흔적에서 'Gold Letter Bird' 문구가 존재하는 것을 발견했다"며 "이에 이번 사이버 작전을 '오퍼레이션 골든 버드(Operation Golden Bird)'로 명명하고 베일에 쌓여 있는 위협 배후와 공격 기술에 대한 심층분석을 수행하고 있다"고 말했다.

특히, 이번 스피어 피싱은 지난 2019년 1월 23일에 공개했던 '홀리데이 와이퍼(Operation Holiday Wiper)로 귀환한 로켓맨 APT 캠페인' 미션의 연장선에 포함된 것이 주목되었다.

로켓맨 APT 캠페인은 2018년 8월 22일 '금성121 그룹의 최신 APT 캠페인-작전명 로켓 맨(Operation Rocket Man)' 포스팅을 통해 처음 공개한 바 있고, 이후 유사한 작전이 계속 이어지고 있다는 점에서 유관 분야의 각별한 주의가 요구된다.

위협조직 '금성121(Geumseong121)'은 주로 한국의 외교•안보•통일•국방 분야나 대북단체, 탈북민 등을 상대로 갈수록 고도화된 첩보활동을 하고 있으며, 2014년 한국수력원자력 공격에 가담한 것으로 분류된 위협그룹 '김수키(Kimsuky)' 조직과 직•간접적으로 활동 반경이 오버랩되고 있어 두 그룹은 하나의 조직이거나 공격 미션과 대상이 동일해 발생하는 상황 등으로 강하게 의심되고 있다.

ESRC는 이 두 조직에 대한 상관관계 및 디지털 프로파일링 작업을 지속적으로 수행하고 있다.

표적형 APT 악성코드는 공격자의 명령이나 의도에 따라 감염된 컴퓨터의 각종 시스템 정보 등을 수집해 명령제어(C2) 서버로 은밀히 탈취해 갈 수 있으며, 추가 조건에 따라 원격제어 등 예기치 못한 피해로 이어질 수 있다.

특히 금성121 위협조직을 포함해 다양한 맞춤형 APT 공격이 끊임없이 진행되고 있다는 점에 주목된다.

ESRC 측은 "이번 위협이 치밀하게 준비된 국가차원의 사이버 작전으로 판단하고 있으며, 한국인터넷진흥원(KISA) 등과 긴밀하게 공조함과 동시에 위협 인텔리전스를 보다 강화할 예정"이라고 강조했다.


-국내 최대 개인정보보호&정보보안 컨퍼런스 <G-PRIVACY 2019> 4월 10일 개최. 7시간 보안교육 이수 가능.

-사전등록: http://conf.dailysecu.com/conference/g-privacy/2019.html

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★