국내 NGO를 사칭한 북한 해킹 조직의 피싱 공격이 포착됐다. 북한 해킹 조직은 실제 NGO에서 발송한 이메일을 교묘하게 수정하는 수법으로 공격을 시도했다.
이상용 데일리NK 조사분석 디렉터는 지난 9일 ‘[OO연구소] 북한인권 전문가 토론회 계획안 수정본 보내드립니다’는 내용의 이메일을 수신했다. 하루 전인 8일에도 같은 제목의 이메일을 수신한 이 디렉터는 이를 이상하게 여겨 전문가에게 이메일 분석을 의뢰했고, 그 결과 후에 받은 이메일이 북한 해킹 조직의 피싱 메일로 드러났다.
이 디렉터가 받은 두 이메일은 우선 발신자 주소가 달랐다. 8일에 받은 이메일 발신자 주소는 ‘0000000@nate.com’였고, 9일에 받은 피싱 이메일의 발신자 주소는 ‘0000000@daum.net’이었다. 이메일 주소의 앞부분인 아이디는 똑같고 도메인만 다르게 해 수신자를 혼동시키려는 전략을 쓴 셈이다.
두 이메일의 내용은 기본적으로 같지만, 피싱 이메일에는 ‘북한인권 전문가 토론회 수정.zip’이라는 링크가 삽입돼 있었다. 해당 링크를 클릭하면 ‘북한인권 전문가 토론회 수정.zip’이라는 압축파일이 다운로드 되고, 압축파일을 해제하면 ‘북한 인권 전문가 토론회 수정.lnk’라는 파일이 나타난다.
lnk 파일은 북한 연계 해킹조직으로 알려진 APT37이 공격에 주로 사용하고 있다. APT37은 금성121, 스카크러프트, 레드 아이즈, 그룹123 등 다양한 이름으로도 불린다. APT37은 최근 원드라이브 링크, 압축파일과 바로가기 확장자 파일을 이용해 피싱 공격을 진행하고 있는데, 이번 공격은 드롭박스를 이용했다는 특이점이 있다.
lnk 파일을 실행하면 해커가 미리 준비된 PDF 문서가 실행된다. 이 PDF 문서는 8일에 받은 이메일에 첨부된 문서와 동일하다. 이메일 수신자가 해킹당했다는 사실을 인지하지 못하도록 동일한 문서를 이용한 모습이다.
하지만 보이지 않는 곳에서 악성코드가 실행된다. 윈도의 백신 시스템에 따르면 해당 바이러스는 ‘TrojanDownloader:PowerShell/MoniSaint.D!dha’이다. 이 바이러스는 사용자의 동의 없이 다른 악성 프로그램을 포함해 다른 프로그램을 PC에 다운로드하고 설치한다. 해당 바이러스에 감염되면 시스템 정보뿐만 아니라 각종 파일이 유출될 수 있다.
외부에서 받은 파일인 경우 실행하기 전 확장자를 반드시 확인하고, lnk 파일인 경우 실행하지 않는 편이 좋다. 만약 확장자가 보이지 않으면 윈도 탐색기의 ‘폴더 옵션’ 설정에 들어가 ‘알려진 파일 형식의 파일 확장자명 숨기기’ 체크를 해제하면 된다.
lnk 파일은 아이콘 왼쪽 하단에 조그맣게 화살표 모양의 표시가 있다는 특징이 있으며 파일 크기가 비정상적으로 크다는 특징도 있다.
