SECURITY NEWS
[보안뉴스] ‘빗썸’ 사칭 악성 이메일 공격! 북한 연관성 드러난 ‘코니’가 배후 | ||
---|---|---|
|
||
ESRC, 23일 발생한 빗썸 사칭 이메일 공격 배후로 김수키 조직과 연계 가능성 제기된 코니 지목 [보안뉴스 원병철 기자] 국내 대표적인 암호화폐 거래소 빗썸을 사칭한 이메일이 발견돼 회원들의 주의가 요구되고 있는 가운데, 이번 공격의 배후로 북한의 지원을 받는 것으로 알려진 ‘김수키(Kimsuky)’와 연관성이 드러난 ‘코니(KONNI)’가 지목됐다. ▲암호화폐 거래소 해킹공지 안내로 사칭한 이메일 화면[자료=ESRC] 이스트시큐리티 시큐리티대응센터(이하 ESRC)는 지난 23일 금요일 오후, 비트코인 거래소 해킹 공지를 사칭한 스피어 피싱(Spear Phishing) 공격이 발견되어 휴일 기간 스마트기기 안전에 각별한 주의가 요망된다고 밝혔다. ESRC는 여러 공격벡터와 각종 지표를 종합한 결과 기존 코니 그룹을 이번 공격 배후로 지목했으며, 특히 김수키 조직과 직·간접 연계 가능성에 무게를 두고 있다고 설명했다. ESRC에 따르면, 이번 공격은 안드로이드 기반 단말기를 대상으로 진행됐다. 먼저 실제 공격에 사용된 이메일을 살펴보면, 마치 암호화폐 거래소 회원들 대상으로 계정보호용 안드로이드 앱(APK) 설치유도 문구로 현혹하고 있다. 또, 육안상 공식 이메일 계정에서 발송된 것처럼 보낸 사람 정보가 교묘하게 조작되어 있다. 더불어 한국 포털에서 제공하는 이메일의 대용량 클라우드 다운로드 아이콘과 실제 거래소 이미지 등을 적절히 결합해 나름 진짜처럼 보이도록 디자인에 신경 썼지만, 일부 띄어쓰기 등이 다소 부자연스런 부분이 존재한다. 23일 오후 여러 사람들에게 해당 이메일이 발송됐으며, 이에 따라 빗썸의 공식 인터넷 카페에도 사칭 이메일 주의 공지사항이 등록됐다. 실제로 빗썸은 23일 저녁 6시 56분 ‘빗썸 사칭 이메일 주의 안내’라는 제목의 공지를 통해 최근 빗썸을 사칭한 이메일이 유포되고 있다며 피해가 발생하지 않도록 주의를 당부했다. ▲해커가 만든 1단계 C2화면[자료=ESRC] ESRC는 첨부파일로 존재했던 ‘BithumbProtect.apk’ 파일을 분석하기 전에 공격에 사용된 위협흐름을 파악하는데 주력했고, 공격자가 해외거점에 구축한 1단계 명령제어(C2) 서버 구축 정황을 포착했다고 밝혔다. 분석 당시 웹 서버의 디렉토리 리스팅이 가능해 공격자가 만든 폴더들이 그대로 오픈되어 있었으며, 스피어 피싱 위협 미끼로 활용된 비트코인 거래소명 외에 한국의 대표 포털 회사이름의 경로도 추가로 발견됐다. 각각의 폴더 하위에는 안드로이드 악성앱을 감염시키기 위해 만들어진 피싱사이트와 추가 악성앱(APK)이 존재한다. 그리고 악성앱은 2단계 명령제어(C&C) 서버로 감염된 스마트폰 단말기 정보를 수집해 은밀히 탈취기능을 수행한다. 더불어 포털 앱처럼 사칭한 경우엔 컴퓨터와 모바일의 웹 브라우저 환경을 체크해 컴퓨터로 접근할 경우 ‘모바일 환경에서만 설치가 가능합니다’란 메시지 창을 출력해 모바일 기기에서 접근하도록 유도한다. 만약 안드로이드 디바이스에서 접근시 유사 변종 악성앱이 다운로드 된다. ▲안드로이드 단말기에 악성앱이 다운로드 시도 중인 화면[자료=ESRC]
[원병철 기자(boanone@boannews.com)]
[저작권자: 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=82475&page=1&kind=1] |
||
이전글 | [보안뉴스] 해커들에게 사랑받는 ‘발주서 공격’ 23일에도 출현 | |
다음글 | [보안뉴스] 3년 내 클라우드 전환 대란 온다...보안업계 대비해야 |