[아이뉴스24 김국배기자] 특정 해킹조직이 지난해부터 올초까지 한국을 대상으로 6건의 사이버 공격을 수행했다는 분석이 나왔다.
시스코 보안 인텔리전스 그룹 탈로스는 '그룹(Group) 123'이라 이름붙인 해킹 조직이 2017년부터 올해 1월까지 한국을 타깃으로 6건의 공격을 시도했다고 분석했다.
해당 공격은 '골든 타임' '사악한 새해' '프리밀크(FreeMilk)' '행복하십니까?' '북한 인권' '사악한 새해 2018'로 명명됐다.
골든 타임, 사악한 새해, 북한 인권 캠페인은 모두 한국 사용자를 공격 목표로 삼았다. 공격자는 한컴오피스 제품군을 악용해 만든 악성 HWP 문서와 첨부해 스피어 피싱 메일을 보냈다.
프리밀크 캠페인은 한국 금융기관뿐만 아니라 전 세계 금융기관을 공격했다. 공격자는 자주 사용하던 한컴 문서가 아닌 마이크로소프트 오피스 문서를 썼다.
행복하십니까 캠페인에서 공격자는 디스크 와이퍼를 구축했다. 감염된 원격시스템에 접근할 수 있는 권한을 획득해 디바이스의 첫 번째 섹터를 삭제하는 목적이다. 와이퍼는 'ROKRAT' 모듈로 확인됐다.
골든 타임 캠페인의 경우 이메일 샘플에서 공격자가 사용자를 '통일·북한 학술대회' 관련 패널로 유도했다.
발신자 계정은 'kgf2016@yonsei.ac.kr'로 '한반도국제포럼'이라는 학술대회 담당자 이메일이다. 이메일 헤더 분석 결과 이 이메일은 연세대학교 네트워크와 연관된 IP를 사용하는 SMTP 서버에서 전송된 것으로 파악됐다.
그룹 123은 작년 초 사악한 새해 캠페인을 시작됐다. 공격자는 한국 통일부에서 이메일을 보낸 것처럼 가장해 피해자를 속이려 했다. 소수에게 악성첨부 파일을 포함한 스피어 피싱 메일을 보냈다.
올해 1월 2일 발생한 사악한 새해 2018 캠페인도 작년 방식과 동일하다. HWP 문서에 북한 지도자의 2018년 신년사를 분석한 내용을 담았다.
시스코 탈로스는 "공격 조직은 한국어를 자연스럽게 사용하고 지역 특성에 맞춰 공격한다"며 "공격 대상이 정보, 문서, 이메일을 합법적이라 여기도록 유도하며, 상당히 높은 수준의 한국 관련 지식을 보유했다"고 분석했다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기