ESRC 보안 동향 보고서 - 최신 보안 동향

1. 네이버 개인정보 수정 페이지를 위장한 피싱 페이지 주의!

'네이버 계정이 불법 도용되고 있습니다.' 라는 제목의 피싱 메일이 유포되고 있다. 

이메일 내 비밀번호 변경하기 버튼으로 사용자의 클릭을 유도한다. 클릭 시, 공격자가 제작해 놓은 피싱 페이지로 이동하게 된다. 

해당 피싱 페이지는 기존 피싱 메일이 네이버 로그인 페이지를 위장했던 것과 달리 네이버 내 정보 페이지로 위장하고 있다. 또한 사용자의 의심을 피하기 위해 일부 버튼은 실제 페이지에서 동작하는 것처럼 보이도록 제작해놓았다. 

 

그러나 2022년 2월 부로 내 정보 페이지가 네이버 ID 페이지로 변경되어 더 이상 해당 명칭을 사용하지 않는데 공격자는 해당 사실을 모르는 듯 예전 명칭으로 페이지를 제작해놓았다. 

-> 서비스 업데이트를 제대로 확인해놓는 것도 피싱 예방에 도움이 될 듯

피싱 페이지(왼)와 실제 비밀번호 변경 페이지(우)

2. 다음 카카오 계정 통합 공지를 위장한 피싱 메일 

피싱 메일 제목 : '긴급공지 : Daum 계정 병합에 대해'

본문 내용이 어색하고, 개인 이메일 계정으로 발송되었기 때문에 쉽게 피싱 메일임을 인지할 수 있지만, 만일 오인하여 '지금 이메일 병합' 버튼을 누르면 피싱 페이지로 접속하게 된다. 

위장 페이지의 완성도가 매우 떨어지는 것을 볼 수 있다. 이러한 메일들은 대부분의 사용자가 쉽게 피싱 메일임을 인지할 수 있다. 다만, 공격자들이 사용자들의 정보 탈취를 위하여 공격에 사용할 다양한 주제를 찾고, 이렇게 실제로 이슈가 되고 있는 주제를 공격에 악용하고 있다는 것이 흥미로운 점이다. 

 

이메일 을 수신하면 반드시 발신자의 계정을 확인하고, 웹 페이지 접속 시에도 URL을 확인하는 것이 필요하다. 

 

3. LockBit 3.0 랜섬웨어 빌더 공개돼

LockBit3.0 빌더가 트위터에 유출되었다. 이번 빌더는 LockBit 랜섬웨어 그룹에 고용된 프로그래머가 유출한 것으로 추정된다. 이 빌더를 사용하면 누구나 암호화기, 복호화기를 포함한 실행파일을 빠르게 빌드할 수 있다. 

 

구성 : Build.bat, builder.exe, config.json, keygen.exe

이 중 config.json 파일을 통해 랜섬머니 금액 설정, 구성옵션 변경, 종료할 프로세스 및 서비스 설정, C&C 서버 지정 등 다양한 옵션을 공격자에 맞게 설정할 수 있다. 이후 Build.bat 파일을 통해 랜섬웨어 공격에 필요한 모든 파일을 생성할 수 있다. 

 

공개된 빌더로 빌드 후 Build 폴더에 위와 같은 프로그램들이 생성된다. 

이 중 LB3.exe 파일이 실제 공격자들이 공격에 사용하는 랜섬웨어 파일로, 해당 파일을 실행하면 다음과 같이 PC 내 파일들이 암호화가 된다. 

랜섬웨어 실행 후 암호화 된 파일들

이후 빌드된 파일에 포함되어 있는 LB3Decryptor.exe 파일을 실행하면 암호화 된 파일들이 성공적으로 복호화된다.

 

 

빌드 전 config.json 파일에서 공격자가 원하는 비트코인 주소, 서버, 랜섬노트 내용 등을 커스터마이징 할 수 있다. 

커스터마이징된 랜섬노트

이 빌더를 이용하면 전문가가 아니라도 쉽게 랜섬웨러를 제작할 수 있어, 공격이 더욱 기승을 부릴 것으로 예상된다고 한다. 

 

 

4. 암호화폐 기업 제휴 이슈로 가장한 코니(Konni) 해킹 위협 주의!

 

워드 문서 파일명 : '카뱅과 손잡은 코인원_비트 독주 체제 무너뜨릴까 [위클리 코인리뷰] - 이코노미스트'

파일명과 파일 내용은 실제 9월 3일에 공개된 기사를 인용했다. 

Remote Template Injection 코드

'TigerHunter'  이름을 사용하는 사용자가 2022년 9월 25일 21시 53분(UTC)에 최종적으로 저장한 것으로 보이며, '원격 템플릿 주입(Remote Template Injection)' 기술을 사용하여 공격자가 미리 설정해 놓은 원격 호스트에 연결하고, 레이아웃, 셋팅 및 매크로 등을 포함하는 문서 템플릿 파일인 dotm 파일을 사용자 시스템에 내려받는다. 

 

사용자가 파일을 실행하면 word2022[.]c1.biz로 접속, template.dotm 파일을 다운로드한다. 

해당 파일에는 본문의 폰트 색깔을 흰색에서 검은색으로 변경하는 설정과 함께 사용자 정보를 유출하는 매크로가 포함돼있다. 

본문 텍스트 색깔을 흰색으로 바꿔 보여줌으로써 사용자의 호기심을 유발, [콘텐츠 사용] 기능을 활성화하도록 유도한다.

매크로 시행 허용 시, 원격 템플릿 주입 기술을 통해 다운로드 된 dotm 파일이 템플릿 문서에 적용되며 본문 텍스트 색깔이 검은색으로 변경됨과 동시에 악성 매크로 코드가 실행된다.

 

감염 PC의 OS 버전, 컴퓨터 이름, IP 정보(IP v4, IPv6) 가 C&C로 전송된다.

 

이를 ESRC는 북한 정찰총국이 배후인 코니(Konni) 조직의 소행으로 결론지었으며, 해당 방식은 이 조직이 오래전부터 즐겨 사용하는 공격 방식이라고 한다. 

 

5. 논문 심사 사례비 지급으로 위장한 북한發 해킹 공격 주의

'미중 경쟁과 북한의 비대칭 외교전략 심사 논문' 처럼 위장한 APT 공격이 잇따라 등장하고 있다.

 타깃은 항공 및 외교 안보 국방 분야 교수진이며, 국내 특정 대학 학술지에 투고된 원고의 심사를 의뢰하는 형식으로 정상 논문 파일과 심사 의견서처럼 위장된 악성 문서가 공격에 활용되었다.

 

공격 초반

정상 내용으로 접근, 이후 이메일에 회신하는 등 관심 보이는 대상자를 선별하여 악성 파일을 개별 첨부하는 방식을 활용

또한 일정 기간 시차 간격을 두고 후속 공격을 수행하는 치밀함을 보였다.

선별된 대상자에 한하여 후속 메일을 발송하여 피싱 사이트의 접속을 유도하는데, 대상자의 대학 공식 메일이나 개인용 무효 웹 메일 주소를 수집하고, 소속 대학별 이메일 로그인 디자인이 서로 다른 부분까지 고려하여 개별 맞춤형으로 치밀하게 사이트를 구축했다. 

 

만일 사용자가 피싱 사이트에서 계정 정보를 입력할 경우 입력한 계정정보 탈취와 동시에 정상 문서 파일을 내려주어 해킹 임을 인지하기 어렵게 한다. 

개인정보이용동의서로 위장한 악성 워드문서

논문 심사 사례비 지급을 사유로 매크로가 포함된 워드 파일을 전달한다. 

사용자가 '콘텐츠 사용' 기능을 활성화 한 후 정보를 기입하여 회신하면, 개인정보 유출과 동시에 워드 파일에 포함되어 있던 매크로 코드가 실행되며 추가 악성 행위를 시도한다. 

 

공격에 사용된 피싱 서버의 호스팅 서비스와 공격 기법이 북한 정찰총국 연계 해킹 조직인 '페이크 스트라이커(Fake Striker)' 위협 캠페인과 일치하는 것으로 확인됐다.

 

---

출처

https://www.estsecurity.com/enterprise/security-info/report 2022 10월 보안동향보고서

이스트시큐리티 기업 | 보안동향보고서