북한 정부 배후 추정 김수키 해킹조직의 대남 사이버공격이 계속되고 있다. 이스트시큐리티 ESRC(시큐리티대응센터)에 따르면, 지난 2월 26일, '코로나 바이러스 관련 이사장님 지시사항'이라는 이메일 제목으로 악성 워드문서가 첨부된 스피어 피싱 공격이 포착되었고, 당시 이 공격은 '스모크 스크린(Smoke Screen)' APT 공격캠페인의 일환으로 분석한 바 있다.

한편 2020년 3월 3일, 새로운 공격이 발견되었다. '비건 미국무부 부장관 서신 20200302.doc' 파일명이 사용된 것이다.

ESRC는 해당 악성 문서 파일을 분석한 결과 기존 '스모크 스크린'과 동일한 APT 공격으로 조사를 완료했다.

스모크 스크린 사이버 위협에 적용된 전략, 기술, 절차(TTPs:Tactics, Techniques, Procedures) 등을 관찰한 결과 이들 배후에는 이른바 특정 정부기관의 지원을 받고 있는 일명 김수키(Kimsuky) 조직이 있는 것으로 분석됐다.

최근 이들은 한글 취약점 문서보다 MS워드 문서파일의 매크로 기능을 적극 활용하는 특징을 보이고 있다.

이번 공격에 사용된 DOC 악성 문서파일은 기존 '코로나 바이러스 대응.doc' 파일과 동일하게 매크로 허용 유도 디자인을 그대로 재활용했다.

각각의 악성 문서 파일은 마지막 수정 계정명이 'admin' 이름으로 동일하고, 공격에 사용된 매크로 코드 역시 유사성을 띄고 있다.

이용자가 보안 경고창으로 나타난 ‘콘텐츠 사용’ 버튼을 클릭하게 되면, VBA 매크로 코드가 실행되어 악의적인 웹 사이트(C2)로 접속을 시도한다.

이곳에 선언된 16진수 코드를 통해 공격자가 지정한 명령제어(C2) 호스트로 통신을 시도하게 된다.

코로나 바이러스 문서 내용으로 사용했던 공격과 비교해 C2 주소를 비교해 보면 두 곳 모두 미리네 호스팅을 사용했으며, 하위 주소 경로도 정확하게 일치하는 것을 알 수 있다.

또 각각의 매크로 코드를 비교해 봐도 거의 동일한 형태로 제작된 것을 알 수 있다. 만약 악성 문서를 실행하고 ‘콘텐츠 사용’ 버튼을 클릭할 경우에는 특정 문서 화면이 보여진다.

공격자가 지정한 'search.hta' 코드가 작동하면 연쇄적으로 다른 파일을 호출하며, 감염된 컴퓨터의 다양한 정보들을 수집해 은밀히 탈취한다.

또한 추가 파일 다운로드 기능과 함께 사용자가 입력하는 키보드 내용을 저장해 유출하는 키로깅 스파이 기능도 수행한다. 따라서 사용자의 중요한 개인정보가 유출되는 피해로 이어질 수 있다.

특히, 이곳에 사용된 바운더리 문자열 '7e222d1d50232' 값은 기존 김수키 코드에서도 여러차례 목격된 바 있다. 특정 정부차원의 APT 조직인 김수키(Kimsuky)는 한국을 포함해 다양한 나라를 상대로 위협을 지속하고 있어 각별히 주의해야 한다.

ESRC는 이들 조직이 최근 매우 활발하게 대남 사이버위협 활동을 하고 있는 점에 주목하고 있으며, DOC 워드 기반의 공격을 적극적으로 활용하는 점을 집중 분석하고 있다.

★정보보안 대표 미디어 데일리시큐!★