지난 4월부터 5월까지 지니언스(대표 이동범) 시큐리티센터는 APT37(RedEyes, Group123) 그룹명으로 알려진 북한 연계 위협 행위자가 악성 MS 워드 문서 파일과 LNK 바로 가기 파일 형식으로 공격 시도하는 정황을 다수 포착했다. 각별한 주의가 필요한 상황이다. 

국내 북한인권분야의 단체장 정보로 위장해 또 다른 대북분야 대표를 표적삼아 악성 파일을 담은 이메일 기반 스피어 피싱 공격을 수행했으며, 유사한 공격이 지속되고 있는 중이다.

APT37 그룹은 파이어아이(FireEye)에서 명명한 북한 배후 해킹 조직으로, 2012년 전후 부터 다양한 사이버 첩보 활동에 가담 중이다.

이들 그룹은 북한 정권에 유리한 첩보 입수 목적의 정찰 활동이 주요 임무 중에 하나이며, 한국내 공공 및 민간분야를 가리지 않고 광범위한 해킹 활동을 전개 중이다.

◆공격 전술 및 전략 유형(TTPs)

이들 그룹은 이메일 기반 스피어 피싱 공격을 주로 사용하지만, 웹 기반의 워터링 홀 공격이나 SNS 또는 토렌트 사이트를 이용한 무작위 침투, 안드로이드 스마트폰 이용자를 노린 표적 공격까지 다양한 전술 전략을 구사한다.

과거에는 HWP 문서 취약점, SWF Flash Player 제로데이(CVE-2018-4878) 등 다양한 보안 취약점을 빠르게 선점해 실전 공격에 도입 적용했을 정도로 취약점 공격에 매우 능동적인 양상을 보였다.

초기 시절에는 AOL 인스턴트 메신저(AIM)를 C2 서버 통신체계로 사용했지만, 이후에는 스트림네이션(Streamnation)과 피클라우드(pCloud), 얀덱스(Yandex), 드롭박스(Dropbox), 원드라이브(Onedrive) 등 각종 클라우드 스토리지 API와 Back4app Backend as a Service (BaaS, 서비스형 백엔드)를 C2로 활용하는 공통된 특징이 관찰되고 있다. 

다양한 무료 이메일 서비스(Hotmail, Zmail, India, Gmail, Yandex, Aol)에 가입해 활동하는데, 한글 표현을 영문으로 변환해 비밀번호로 사용한 경우가 존재하고, 일부는 북한식 단어 표기법(쌀튀기)과 평양 IP 주소가 접속 로그로 발견된 바 있다.

실제 공격에 쓰인 악성파일은 대체로 정보 탈취형(InfoStealer) 기능과 원격 제어(Backdoor) 형태가 다수이지만, 물리 디스크 MBR 영역을 손상시키는 파괴형 Wiper 코드가 유포된 사례가 존재한다.  

지니언스 시큐리티센터는 “공격자는 스피어피싱 공격 과정에 연결되는 클라우드 서버 내 악성파일 링크를 시차간격에 따라 정상파일로 변경하는 교란 및 기만전술을 펼치고 있다. 이 때문에 분석 조사 시점에 따라 공격 수법 은폐가 가능하다. 각별한 주의를 당부한다”고 전했다. 

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★