이스트시큐리티는 미국 내 북한 문제 전문가 포럼 ‘전미북한위원회(NCNK)’의 신종 코로나바이러스 감염증(코로나19) 관련 인터뷰 문서를 사칭한 악성파일이 발견됐다고 29일 발표했다.

이 파일은 마이크로소프트(MS) 워드(.doc) 문서 형식으로 파일명은 ‘My Interview on COVID-19 with NCNK(NCNK와 코로나19 관련 인터뷰).doc’이며 지난 5월26일 제작된 것으로 파악됐다.

이스트시큐리티 측은 이번 공격 기법이 특정 정부가 연계된 것으로 알려진 김수키 조직의 기존 지능형지속위협(APT) 공격과 동일한 것으로 분석했다. 이번에 사용된 악성 문서에는 북한 내 코로나19 바이러스 확산 상황과 국제 비정부기구(NGO) 단체 지원 여부 내용 등의 내용이 담겼다.

회사 측은 “실제 전미북한위원회(NCNK) 공식 홈페이지 내용을 무단 도용한 것으로 보인다”고 설명했다. 만약 이메일 수신자가 악성 파일을 열고 문서 확인을 위해 상단 매크로 버튼을 클릭하면 해커가 지정한 한국 소재 특정 교육원 웹사이트로 접속, 명령제어 서버와 통신을 통해 추가적인 공격이 수행될 수 있다.

해커는 사용자PC 윈도 운영체제(OS)에서 예약 설정 기능을 수행하는 ‘작업 스케줄러’를 악용해 3분마다 무한으로 교육원 서버로 통신을 진행한다. 스케줄러에는 MS 클라우드 스토리지(저장소) 서비스인 ‘원드라이브’ 이름으로 등록돼 있어 사용자 의심을 피했다.

문종현 ESRC 센터장 이사는 “대북 분야에서 활동하는 여러 인사가 김수키 조직의 주요 APT 위협 대상”이라며 “특히 최근 외교·안보 및 대북 분야 종사자를 겨냥한 공격 정황이 꾸준히 포착되고 있는 만큼 유사한 위협에 노출되지 않도록 관계자들의 각별한 보안 수칙 준수 노력이 요구된다”고 당부했다.

출처 및 인용:http://www.inews24.com/view/1269245