본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

북한 해커 조직, 국내 대형 포털 클라우드 서비스 사칭하여 공격 중!

보안공지 2022-08-11

​​


국내 대형 포털사의 클라우드 공유 초대 서비스를 위장한 북 연계해킹 공격이 잇따라 포착되고 있어 사용자들의 각별한 주의가 필요합니다. 

 

이번 공격대상은 주로 대북 분야에 종사하는 전문가 및 기자들로, 이 대상들에게 실제 서비스를 사칭한 피싱 메일 형태로 공격이 진행중입니다. 

 

지난 토요일에 수행된 공격은 마치 ‘북핵개발 역사와 북미관계 발전전망’ 파일을 공유한 것처럼 위장했는데, 클라우드 공유 초대자가 과거 정부 때 국가정보원 해외·북한 담당 1차장을 지냈던 인물의 이름을 사칭하여 전달한 것이 특징입니다.


​​

[그림 1] 클라우드 공유 서비스 초대 메세지로 위장한 해킹 이메일 화면 


해킹 공격 메일의 본문에는 공유 초대 수락 버튼 클릭을 유도하기 위해, “북한 8차 당대회의 전략노선 및 대남정책 변화 전망을 1건 보내드립니다. 참고하시면 다른 분들께도 도움이 되실 것 같아 이 파일을 공유합니다.”라는 초대 메시지까지 포함해 수신자로 하여금 보다 신뢰하도록 내용을 조작한 점이 주목할 만한 점입니다. 

ESRC의 분석결과, 수신자가 해킹 메일 본문에 포함된 공유 초대 [수락] 버튼을 클릭할 경우 ‘share.myboxes.navers[.]tech’, ‘view.boxfile[.]click’ 등의 피싱 서버로 접속돼, 이용자의 비밀번호 탈취를 시도합니다.

공격자가 클라우드 서비스의 실제 공유 초대 기능을 사용한 것은 아니지만, 해킹 메일 본문이 실제 정상 서비스의 디자인 및 문구와 거의 흡사하게 모방하여, 평소 해당 공유를 받아본 경험이 있는 수신자의 경우 별다른 의심없이 해킹 위협에 노출될 우려가 높습니다.

 

이번 공격은 지난 7월 외화벌이 목적으로 알려진 “써미츠 NFT보상 사칭 해킹” 사건과 상반기부터 지속 발견 중인 “건강검진 결과 증명서 발급으로 위장한 해킹 공격” 등의 연장선으로, 주요 침해 지표(IoC)와 위협 전략 등을 종합 분석한 결과 이번 공격은 "KGH"로 분류된 북한 정찰총국 연계 해킹 조직의 소행으로 확인되었습니다. 

 

한편, KGH 해킹 조직은 지난 7월 국내 특정 신용카드사와 금융정보보호 서비스가 제공하는 스마트 신용 서비스의 본인인증 발생 안내 메일처럼 사칭한 공격도 진행한 것으로 확인되었습니다.



[그림 2] 신용카드 본인인증 내역 확인처럼 위장한 해킹 메일 화면 



당시 공격은 금융서비스에 이용고객의 명의로 본인인증이 발생한 경우 이용자에게 SMS와 이메일로 알려주는 서비스처럼 사칭 하여 [본인인증내역 확인하기] 버튼의 클릭하도록 유도하고, ‘hanacard.navceo[.]website’ 피싱 서버로 접속시켜 수신자의 이메일 비밀번호 탈취를 시도하는 형태의 피싱 공격이였습니다. 

이처럼 공격자들은 다양한 주제를 활용해 국내 대북 분야 인사들을 상대로 해킹이 성공할 때까지 끈질기게 공격을 수행 중이며, 단순히 클릭을 유도하는 URL피싱뿐만 아니라 DOC, HWP 악성 문서를 활용한 공격도 적극적으로 구사 중이기 때문에 사용자들의 각별한 주의가 필요합니다. 

오는 22일부터 한미 연합훈련이 예정되어 있어 북한 해킹 조직의 공격은 더 증가할 것으로 예상됩니다. 

 

사용자 여러분들께서는 수상한 이메일 내 링크클릭 및 첨부파일 실행을 지양해 주시기 바라며, 링크를 통해 연결된 페이지 혹은 첨부파일 내에서 계정정보 입력을 요구한다면 입력하기 전 반드시 주의를 기울이셔야 합니다.

 

해킹조직의 공격이 날로 거세지고 있습니다. 개인뿐만 아니라 기업 모두 사이버 안보에 대한 관심과 경각심을 높이고 보안에 만전을 기해야 하겠습니다.

 

이스트시큐리티는 유사 피해 확산 방지를 위한 대응 조치를 한국인터넷진흥원(KISA) 등 관련 부처와 긴밀하게 협력하고 있습니다.


IoC

hanacard.navceo[.]website
share.myboxes.navers[.]tech
view.boxfile[.]click