2020-06-01 00:40 (월)
해킹그룹 ‘APT32’, 코로나19 첩보수집 위해 활발히 활동 중…주의
상태바
해킹그룹 ‘APT32’, 코로나19 첩보수집 위해 활발히 활동 중…주의
  • 길민권 기자
  • 승인 2020.04.23 15:15
이 기사를 공유합니다

APT32 공격자, 스피어피싱 이메일 통해 악성 첨부 파일 전달
APT32 조직의 스피어피싱 메일에 첨부된  악성문서파일. 파이어아이.
APT32 조직의 스피어피싱 메일에 첨부된 악성문서파일. 파이어아이.

코로나19 관련 첩보를 수집하기 위해 정부지원을 받고 있는 해킹그룹들이 활발한 활동을 전개하고 있어 한국도 각별한 주의를 기울여야 하는 시점이다.

이에 파이어아이는 자사 블로그를 통해 23일 베트남 공격그룹인 ‘APT32’의 최근 사이버 위협 캠페인 내용을 발표했다. 맨디언트 위협 인텔리전스팀은 해당 활동이 베트남 정부와 관련된 것으로 간주하고 있다. 여러 차례 발생한 이 공격은 코로나-19가 처음 발견된 우한시와 중국 비상관리부를 표적으로 삼았으며, 이를 통해 맨디언트 위협 인텔리전스팀은 해당 공격 활동이 코로나-19에 대한 정보 탈취의 목적을 지녔다고 추정하고 있다.

파이어아이 맨디언트 위협 인텔리전스 수석분석가 존 헐트퀴스트(John Hultquist)가 공개한 ‘APT32’의 최근 활동 내용을 아래와 같다.

APT32 조직은 베트남 정부와 긴밀하게 협력하는 첩보스파이 그룹으로 2013년부터 활동한 것으로 추정된다. 주요 공격 타깃 대상은 베트남에 진출해 사업을 하고 있거나 투자 예정인 외국계 기업들이다.

이들이 사용하는 주요 악성코드는 SOUNDBITE, WINDSHIELD, PHOREAL, BEACON, KOMPROGO 등이다.

공격 경로는 △소셜 엔지니어링 방법으로 피해자가 매크로를 사용하도록 유도하는 액티브마임(ActiveMime) 파일 활용 △실행 시 시작된 파일이 원격 서버에서 여러 악성 페이로드를 다운로드 △APT32 공격자는 스피어피싱 이메일을 통해 악성 첨부 파일 전달 등이다.

APT32의 최근 활동은 2020년 1월부터 4월 4일까지 중국을 대상으로 공격 캠페인을 수행한 것으로 의심된다. 해당 활동은 코로나-19관련 정보 수집 목적이었을 것으로 추측하고 있다.

공격자는 코로나-19가 처음 발견된 우한시와 중국 비상관리부(China's Ministry of Emergency Management) 등을 대상으로 스피어피싱 메시지를 보낸 것으로 확인됐다.

동아시아를 대상으로 했다는 점에서 이전에 조사한 APT32 활동과 연속되며, 이번 사건과 이전에 발견된 APT32의 활동은 모두 전 세계적으로 증가하고 있는 사이버 첩보 활동의 일부로 보여진다. 특히 이번 코로나 위기 상황에 대한 해결책과 비공개 정보를 얻기 위한 국가적 차원의 활동으로 분석되고 있다.

APT32의 실제 공격 사례를 살펴보면, 2020년 1월 6일 APT32가 트래킹 링크가 포함된 이메일이 중국 비상관리부에 전송됐으며, 이는 이번 공격 캠페인의 첫 사례다.

해당 이메일 발신 주소는 ‘lijianxiang1870@163.com’, 제목은 ‘사무 기기 입찰 1분기 실적 보고’ 등이며, 이메일에 심은 트래킹 링크에 피해자 이메일 주소와 이메일이 열람 되었을 때 공격자에게 알림이 갈 수 있는 코드를 포함하고 있다.

이외 중국 우한 정부를 대상으로 한 추가 추적 URL과 이메일 주소 또한 중국 비상관리부와 관련돼 있는 것으로 조사됐다. 페이로드 실행 시 중국어 제목으로 코로나-19를 미끼로 한 문서를 보여주는 METALJACK 로더가 발견됐다.

해당 캠페인은 중국어 사용자를 대상으로 COVID-19를 주제로 한 악성 첨부파일을 사용했으며 미끼 문서 제목은 ‘COVID-19 실시간 업데이트: 중국은 현재 후베이성에서 오는 모든 여행자를 추적하고 있다’는 내용으로, 뉴욕타임즈 게재 기사 사본을 보여주고 있다.

이번에 발견된 다른 사례는 libjss.inquirerjs.com 도메인을 포함했는데 이 도메인은 지난 12월에 동남아시아 국가를 대상으로 한 METALJACK 피싱 캠페인의 C&C 도메인으로도 사용된다.

파이어아이 맨디언트 위협 인텔리전스 수석분석가 존 헐트퀴스트는 “COVID-19 위기로 인해 정부에 대한 우려의 목소리가 커지고 있으며, 현재 만연한 불신이 불확실성을 증폭시키고, 공격자의 무자비한 정보 수집 행위를 초래하고 있다”며 “국가, 주, 시, 지방 정부, 비정부 기구, 국제기구 등은 물론 의료 연구 기관까지도 표적이 되고 있다. 이번 위기가 끝날 때까지 관련 사이버 첩보 활동이 전 세계적으로 계속 심화 될 것으로 예상한다”고 밝히며 주의를 당부했다.

한국도 코로나19를 악용한 사이버 공격들이 급증하고 있기 때문에 각별한 주의가 필요하다.

★정보보안 대표 미디어 데일리시큐!★