이스트시큐리티(대표 정상원) 시큐리티대응센터(ESRC)는 외교 안보 관련 자료를 위장한 스피어피싱 공격을 포착했다.
ESRC는 이번 공격을 작전명 '오퍼레이션 스텔스 파워'로 이름 지었다. 외교, 안보, 통일 분야부터 대북, 탈북 단체 종사자를 대상으로 유포된다.
'최근 한반도 관련 주요국 동향.hwp' '3.17 미국의 편타곤 비밀 국가안보회의.hwp' 등 자료로 위장한 파일이 첨부된 악성 이메일을 관련 종사자를 표적해 발송한다.
공격 조직은 이번 공격에서 'DLL' 'EXE' 확장자 악성 파일을 2차 다운로드해 PC를 감염시킨 후 악성 행위를 하던 기존 방식을 벗어났다.
수신자가 공격에 사용된 첨부 파일을 열람하면 별도 악성 파일을 다운로드하지 않는다. 명령제어(C2) 서버에 올려진 파워쉘 코드(PowerShell Code)를 기반으로 키보드 입력값을 탈취하는 키로깅 행위를 수행한다. 이를 통해 각종 정보를 탈취한다.
유창한 한국어로 작성된 이메일 본문과 첨부 문서에 암호를 설정하고 열람 후 파일 삭제를 권고하는 등 보안에 주의를 기울이도록 위장했다. 이메일 수신자가 정상 자료 파일로 착각하게 한다.
'hwp 문서 작성 프로그램'에서 제공하는 파일 암호 설정 기능을 적용한 것은 이메일 수신자 신뢰를 얻는 목적 외, 암호를 알기 전 소스 코드 분석이 불가능한 점을 악용했다. 보안 프로그램 파일 악성 여부 판단을 방해하는 목적도 있다.
정영일기자 jung01@etnews.com
