통일부, 통일연구원 공식 이메일 둔갑… 北 연계 탈륨 해킹 공격 주의보
Contents
안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
최근 ‘탈륨’ 또는 ‘김수키’ 등의 이름으로 널리 알려진 北 연계 해킹 조직 소행으로 지목된 APT(지능형지속위협) 공격이 국내에서 연이어 발견되고 있어 각별한 주의가 필요합니다.
이번에 새롭게 발견된 APT 공격은 통일부를 사칭한 이메일 공격과 통일연구원을 사칭한 이메일 해킹 공격 유형 등입니다.
먼저 통일부 사칭 공격은 지난 06월 22일 수행됐고, 통일연구원을 사칭한 공격은 24일 포착됐습니다.
두 공격 모두 거의 동일한 시기에 ‘북한의 당 중앙위원회 제8기 제3차 전원회의 분석’ 주제와 관련된 내용처럼 수신자를 현혹하는 공통점이 발견됐습니다.
특히, 수신자들이 해당 이메일을 해킹 공격으로 의심하지 않도록 각 발신지 주소를 실제 통일부([email protected])와 통일연구원([email protected])의 공식 이메일 주소처럼 정교하게 조작하는 해킹 수법을 사용했습니다.
따라서 일반인 수준에서 육안 상으로 발신지가 허위로 조작됐다고 판단하기에 현실적인 어려움이 존재합니다.
ESRC에서 이메일 발송지를 역추적한 결과 두 공격 사례 모두 servera94.opencom[.]com [121.78.88.94] 서버가 활용된 정황이 포착됐고, 조사 결과 꽤 오래전부터 공격 거점으로 악용된 것으로 드러났습니다.
한편, 지난 06월 18일 국가안보전략연구원을 사칭한 공격과 21일 보고된 한국인터넷진흥원(KISA)을 사칭한 공격 모두 동일한 서버가 악용된 점도 주목됩니다.
최근 보고된 사례는 본문 내 악성 문서 …
최근 ‘탈륨’ 또는 ‘김수키’ 등의 이름으로 널리 알려진 北 연계 해킹 조직 소행으로 지목된 APT(지능형지속위협) 공격이 국내에서 연이어 발견되고 있어 각별한 주의가 필요합니다.
이번에 새롭게 발견된 APT 공격은 통일부를 사칭한 이메일 공격과 통일연구원을 사칭한 이메일 해킹 공격 유형 등입니다.
먼저 통일부 사칭 공격은 지난 06월 22일 수행됐고, 통일연구원을 사칭한 공격은 24일 포착됐습니다.
두 공격 모두 거의 동일한 시기에 ‘북한의 당 중앙위원회 제8기 제3차 전원회의 분석’ 주제와 관련된 내용처럼 수신자를 현혹하는 공통점이 발견됐습니다.
특히, 수신자들이 해당 이메일을 해킹 공격으로 의심하지 않도록 각 발신지 주소를 실제 통일부([email protected])와 통일연구원([email protected])의 공식 이메일 주소처럼 정교하게 조작하는 해킹 수법을 사용했습니다.
따라서 일반인 수준에서 육안 상으로 발신지가 허위로 조작됐다고 판단하기에 현실적인 어려움이 존재합니다.
ESRC에서 이메일 발송지를 역추적한 결과 두 공격 사례 모두 servera94.opencom[.]com [121.78.88.94] 서버가 활용된 정황이 포착됐고, 조사 결과 꽤 오래전부터 공격 거점으로 악용된 것으로 드러났습니다.
한편, 지난 06월 18일 국가안보전략연구원을 사칭한 공격과 21일 보고된 한국인터넷진흥원(KISA)을 사칭한 공격 모두 동일한 서버가 악용된 점도 주목됩니다.
최근 보고된 사례는 본문 내 악성 문서 …
IoC
121.78.88.94
http://jyle.co.kr/member/data/download/1.pdf
http://servera94.opencom.com
http://uandp.co.kr/online/data/download/1.hwp
http://uti.co.kr/member/data/download/1.pdf
http://jyle.co.kr/member/data/download/1.pdf
http://servera94.opencom.com
http://uandp.co.kr/online/data/download/1.hwp
http://uti.co.kr/member/data/download/1.pdf