2020-09-27 00:05 (일)
NSHC “13개 해킹그룹, 한국 포함 27개국서 코로나19 악용 해킹 활동”…분석 보고서 공개
상태바
NSHC “13개 해킹그룹, 한국 포함 27개국서 코로나19 악용 해킹 활동”…분석 보고서 공개
  • 길민권 기자
  • 승인 2020.04.16 15:18
이 기사를 공유합니다

코로나19 악용 문서 파일 형식의 악성코드 및 LNK 파일, APK 파일 등 다양한 유형의 악성코드 확인돼
코로나 바이러스를 악용한 해킹 활동 타임라인. NSHC 제공.
코로나 바이러스를 악용한 해킹 활동 타임라인. NSHC 제공.

코로나19 사태가 전세계적으로 심각해 지고 있는 가운데 이 이슈를 악용한 사이버 공격자들의 움직임도 활발해 지고 있다.

이에 NSHC(대표 허영일) 레드알럿(Redalert)팀은 16일 ‘코로나19를 악용한 해킹 그룹 활동 사례’ 리포트를 공개하며 코로나19 이슈를 악용한 해킹 활동의 발생 국가, 해킹 활동 발생 타임라인 및 해킹 그룹 별 발견된 해킹 활동 사례를 상세히 전했다.

보고서 내용에 따르면, 아시아, 미국, 유럽 등 약 27개국에서 코로나19를 악용한 해킹 활동이 발견되었으며, 공격자는 주로 코로나19와 관련된 현황 보고서, 뉴스 기사 등을 사용해 매크로(Macro) 스크립트 또는 취약점을 포함하는 악성코드를 제작했다. 이러한 해킹 활동 중에는 문서 파일 형식의 악성코드 외에 바로가기(LNK) 파일, 안드로이드(APK) 파일 등 다양한 유형의 악성코드가 확인되었다고 밝혔다.

또 총 13개 해킹 그룹들이 코로나19를 악용한 해킹 활동을 전개하고 있는 것으로 조사됐다.

섹터A 그룹은 한국, 미국, 영국, 중국에서 활동이 확인됐다. 공격자는 한국어로 작성된 MS 워드 파일 형식의 악성코드를 사용했으며, 이는 ‘코로나 바이러스 관련 지시 사항’ 문서로 위장했다. 해당 문서는 한국의 외교부 산하 기관을 대상으로 했으며, 실행 시 내부에 포함된 매크로 스크립트가 공격자 서버로부터 파워쉘 스크립트를 다운로드 받아 실행한다.

또 북한의 코로나19 상황을 주제로 하는 문서와 ‘북한의 코로나 바이러스를 테마로 하는 사이버 범죄 활동’과 관련된 실제 기사 본문을 활용하는 악성 문서가 발견되기도 했다. 발견된 문서는 모두 영문으로 작성되어 있었으며, 실행 시 내부에 포함된 매크로 스크립트를 사용해, 공격자 서버로부터 추가 악성코드를 다운로드 한다.

추가적으로 다운로드 된 악성코드 중 일부는 맥OS 사용자를 대상으로 MS 워드의 기본 서식 파일을 교체하기 위한 파이썬 스크립트였으며, 공격자는 이를 이용해 윈도우와 맥 OS 사용자 모두를 대상으로 한 해킹 활동을 진행한 것으로 판단된다고 전했다.

이외에도 섹터B 그룹내 5개 그룹은 몽골, 한국, 베트남, 중국, 홍콩, 러시아, 미국, 키르기스스탄, 파키스탄, 필리판, 대만, 우크라이나, 벨라루스, 영국 등 다양한 국가에서 활동한 것으로 파악됐다.

이 그룹들은 주로 CVE-2017-11882 취약점을 포함하는 RTF 문서 형태로 공격을 진행했으며 몽골 외무부에서 보낸 것으로 위장한 악성문서, 베트남 수상의 코로나 관련 지침서로 위장한 악성문서, 한국의 특정 종교 단체 긴급 연락망으로 위장한 악성문서 등을 사례로 들고 있다.

보고서는 이외에도 센터C그룹, 섹터D그룹, 섹터E그룹, 섹터F그룹, 섹터H그룹, 섹터J그룹 등이 어떤 형태로 공격을 전개해 오고 있는지 분석 내용을 설명하고 있다.

이번 위협 인텔리전스 분석을 주도한 NSHC RedAlert팀 소속 ThreatRecon Team(쓰렛레콘팀)은 자세한 내용을 영문으로 블로그(클릭)에 16일 공개할 예정이다.

NSHC ThreatRecon Team은 특화된 위협 탐지체계를 활용해 위협 정보를 수집·분석하고, 기업 환경 내 활용 가능한 인텔리전스 정보를 제공하고 있다. 이들은 차별화된 동남아시아, 동아시아 및 중동 지역에 주로 활동하는 해킹 그룹 정보를 보유하고 있으며 서비스를 활용한 예방, 탐지 및 대응으로 이어지는 정보보안 활동 체계 수립이 가능하도록 지원하고 있다.

★정보보안 대표 미디어 데일리시큐!★