北 해킹조직 '탈륨', 한국·미국·러시아 등 국방·외교·안보·통일 분야 종사자 타깃 공격 지속

탈륨, 북한 관련 러시아 연구원 대상 정교한 사이버 공격 수행 포착

북한 정부와 연계된 것으로 알려진 해커그룹 탈륨(Thallium) 조직의 위협활동을 모니터링하는 과정에서, 모스크바에 있는 러시아 과학원 극동 연구소의 한국학 센터 선임 연구원을 상대로 이메일 해킹 공격 시도 정황을 포착됐다. 한국의 특정 조직과 사람을 대상으로도 이러한 지속적인 공격을 해 오고 있기 때문에 각별히 주의해야 한다.

이스트시큐리티 ESRC(시큐리티대응센터)에 따르면, 위협 행위자는 'Short URL generator' 서비스를 이용해 특정 단축 URL 주소를 생성했다.

단축 URL "surl[.]me/zsu7" 주소가 이메일 링크로 사용됐을 것으로 보이고, 수신자가 링크를 클릭할 경우 러시아의 rambler.ru 서비스를 사칭한 로그인 화면을 보여준다.

정교하게 조작된 가짜 로그인 화면에는 'xxxxxx_xxx@rambler.ru' 이메일 주소가 지정되어 있고, 검색을 통해 실제 존재하는 인물의 계정임을 알 수 있다.

그는 모스크바에있는 러시아 과학원 극동 연구소의 한국학 센터의 선임 연구원이고, 주요 연구 분야는 북한 경제와 대외 경제 관계, 남북 경제 관계, 러시아와 북한 및 한국의 경제 관계 등이다.

한편 ESRC 측은, 과거 러시아어 문건 등으로 수행됐던 '코니(Konni) APT 그룹, 러시아-북한-한국 무역, 경제관계 투자문서로 공격 수행' 캠페인은 주로 코니(Konni) 조직의 위협 활동으로 분석됐지만, 다양한 위협 연구를 통해 코니와 탈륨이 동일 조직으로 해석되고 있다고 전했다.

이번 공격에서는, 수신자가 가짜 이메일 로그인 화면에 속아 실제 암호를 입력하면 공격자 서버로 암호가 유출되는 한편, 정상 PDF 문서를 출력해 피해 인지를 못하도록 현혹한다.

북한 해커가 러시아 연구원에게 보낸 문서파일을 번역한 내용. (출처=이스트시큐리티)

해당 PDF 문서의 러시아어 내용을 구글 번역으로 확인하면 ‘한국의 위기’라는 내용으로 해석된다.

또 위협 행위자가 러시아 아이피(94.242.58.64) 주소를 사용했지만 대역대가 과거 탈륨 조직이 사용했던 VPN(Hide All IP)서비스와 일치했다. 그리고 탈륨 조직이 자주 활용하는 파이어폭스 웹 브라우저를 쓰는 점도 동일했다.

이번 위협 활동에서 사용된 'dnsservice.esy.es' 주소는 과거에도 여러 APT 공격 사례에서 노출된 바 있다.

이 악성 파일들은 모두 지난 2019년 한국의 포털 이메일 서비스를 이용해 국내 특정인을 상대로 공격한 사례에서 등장한 것들이다. 당시 이메일에 마치 '입사지원서.pdf' 문서가 첨부된 것처럼 꾸며, 수신자가 링크를 클릭할 경우 '입사지원서.zip' 파일이 다운로드 되도록 구성했다.

입사지원서 압축파일 내부에는 '입사지원서.lnk' 바로가기 파일이 포함돼 있고, 명령이 작동하도록 실행 대상경로를 구성했다. 이를 통해 'dnsservice.esy[.]es' 서버와 통신을 수행하게 된다.

이런 절차를 통해 'upsrv.16mb[.]com' 링크가 'dnsservice.esy[.]es' 주소로 연결된 것을 확인할 수 있다. 그리고 'upda.php' 명령을 통해 'dnsservice.esy[.]es/document/11.pdf' 파일이 열리면서, 'www.zip' 파일이 함께 호출되어 실행된다.

'upsrv.16mb[.]com' 주소의 경우도 다양한 침해사고 이력이 있지만, 대표적으로 북한분야를 전문으로 취재하는 특정 언론사 공격 대상 'DPRK Human Rights.zip' 사례가 존재하며, 'upgradesrv.890m[.]com' 주소가 유사 공격에서 사용된 바 있다.

2019년 당시 'dnsservice.esy[.]es' 서버에는 공격자가 다양한 미끼 파일을 등록해 사용했는데, 주로 남북한 문서가 사용됐고, 일부 파일은 추후 교체되기도 했다.

또 이들이 만든 악성 문서 파일에서 북한의 글꼴인 '청봉체(KP CheongPong)'가 적용된 테스트용 파일도 발견됐다.

이번에 ESRC 연구원들은 'documentserver[.]site' 도메인 등록자에 주목했고, 다른 유사 공격과의 연관관계를 파악할 수 있었다고 한다.

해당 도메인의 등록날짜는 2020년 3월 30일이고, 등록자명은 'aoler jack다. 그리고 등록에 사용된 이메일은 'poole.sion2015@yandex.com' 러시아 주소가 사용됐다.

그리고 전화는 +82.12035380000 번호로 등록됐는데, +82 국제 전화의 국가번호는 대한민국을 의미한다.

공격자가 등록한 다수의 도메인에서 유사성을 발견할 수 있었으며, 2020년에는 국내 N 포털회사 도메인처럼 위장해 사용된 이력을 확인할 수 있었다. 그리고 이들 조직은 오랜 기간 해외 웹 호스팅 서비스를 적극적으로 활용한다는 점이 특징이다.

물론, 국내외 웹 서버를 해킹하거나 유무료 서버 호스팅 서비스에 가입해 명령제어 서버로 이용하는 경우도 있다.

이스트시큐리티 ESRC 측은 “탈륨 조직의 위협 활동이 여전히 지속되고 있다. 한국과 미국 뿐만 아니라 러시아를 상대로 한 해킹 공격도 수행하고 있다”며 “향후 유사 공격이 계속될 것으로 예상한다. 국내외 대북분야를 포함해 국방·외교·안보·통일 등 관련 연구 종사자는 각별한 주의를 기울여야 한다”고 강조했다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★