탈로스는 2017년 한 해 ‘Group 123’에 의해 아래 6가지 캠페인이 진행됐다고 보고했다.
▲‘골든 타임’ 캠페인
▲‘사악한 새해’ 캠페인
▲‘FreeMilk’ 캠페인
▲‘행복하십니까?’ 캠페인
▲‘북한 인권’ 캠페인
▲‘사악한 새해 2018년’ 캠페인
분석 결과 골든 타임, 사악한 새해, 북한 인권 캠페인은 모두 한국 사용자를 특정 타깃으로 삼았다. 공격자는 한컴오피스 제품군을 이용해 만든 악성 HWP 문서와 결합된 스피어 피싱 이메일을 사용했다.
FreeMilk 캠페인은 한국 금융기관뿐 아니라 전세계 금융 기관을 대상으로 진행됐다. 이 캠페인에서 공격자는 일반적으로 사용하던 한컴 문서가 아닌 마이크로소프트 오피스(MS Office) 문서를 사용했다.
행복하십니까? 캠페인에서 공격자는 디스크 와이퍼를 구축했다. 공격 목적은 감염된 원격 시스템에 대한 접근 권한을 획득해 디바이스의 첫 번째 섹터를 지우는 것이었다. 이 와이퍼는 ROKRAT 모듈인 것으로 확인됐다.
골든 타임 캠페인의 경우 이메일 샘플에서 공격자는 사용자를 ‘통일-북한 학술대회’ 관련 패널로 유도한다는 점이 관찰됐다. 발신자는 'kgf2016@yonsei.ac.kr'로, ‘한반도국제포럼’이라는 학술대회 담당자 이메일이었다. 이메일 헤더 분석 결과 이 이메일은 연세대학교 네트워크와 연관된 IP를 사용하는 SMTP 서버에서 전송되었음이 확인됐다. 공격자가 이 이메일 주소의 보안을 침해하고 악용해 캠페인에서 사용된 이메일을 전송한 것으로 보인다.
2017년 초 Group 123은 사악한 새해 캠페인을 시작했다. 이 캠페인에서 공격 조직은 한국 통일부에서 한국에 대한 분석을 제공하는 이메일을 보낸 것으로 가장해 피해자를 속이려고 시도했다. 이 캠페인은 한국을 대상으로 하며, 악성 첨부 파일을 포함하는 소수의 스피어 피싱 이메일로 시작됐다.
2017년 초 관찰된 것과 동일하게 Group 123은 2018년 1월 2일 새해에 맞춰 캠페인을 시작했다. 감염 벡터는 악성 HWP 문서였으며 이 악성 문서는 북한 지도자의 2018년 신년사를 분석한 내용을 담고 있는데 이같은 접근 방식은 2017년 확인된 새로운 악성 문서를 사용하는 방식과 정확히 동일하다.
탈로스 보고에 의하면 한국이 악성 공격 조직의 주요 타깃이 된 것으로 나타났다. 이들은 한국어를 자연스럽게 사용하고 지역 특성에 맞는 공격으로 공격 대상이 정보, 문서 또는 이메일을 합법적이라 생각하도록 유도하고 있다. 이 공격 조직은 상당히 높은 수준으로 한국 관련 지식을 보유하고 있다.
Group 123은 HWP문서와 MS 문서를 이용해 국내뿐 아니라 전세계를 대상으로 공격하고 있다. 공개 익스플로잇과 스크립팅 언어를 사용해 악성 페이로드를 설치하고 합법적인 웹사이트와 클라우드 플랫폼을 사용해 감염된 시스템과 통신한다. 이들은 다양한 공격 수단을 사용하지만 탈로스는 이들 공격의 패턴 및 유사점, 원격관리 툴, 와이퍼를 파악한 결과 최종적으로 Group 123 그룹이 위의 공격을 시도했다고 결론내렸다.
Group 123은 당분간 사라지지 않고 끊임없이 진화하며 앞으로도 활발한 활동을 펼칠 것으로 예상되며 또한 이 그룹의 대상 프로파일링은 변화할 수 있지만 현재로서는 한반도가 주요 대상이라고 판단된다.
★정보보안 대표 미디어 데일리시큐!★
