‘미·중 경쟁과 북한의 비대칭 외교 전략 심사 논문’처럼 위장한 APT(지능형지속위협) 공격이 잇따라 등장하고 있어 주의가 필요하다.
보안 기업 이스트시큐리티에 따르면 이번 위협 사례는 국내 특정 대학 학술지에 투고된 원고의 심사를 의뢰하는 형식처럼 진행됐으며, 정상 논문 파일과 심사 의견서처럼 위장된 문서가 공격에 활용된 것으로 드러났다.
더불어 공격자는 현직 교수 및 출신 대학의 공식 메일이나 개인용 무료 웹 메일 주소를 수집해 피싱 공격에 활용 중인 정황도 포착됐다. 이때 공격 대상자의 소속 대학별 이메일 로그인 디자인이 서로 다른 것까지 고려해 개별 맞춤형으로 피싱 사이트를 치밀하게 구축했다.
특히, 피싱 사이트는 얼핏 볼 때 마치 정상 사이트로 오인하도록 나름 유사하게 만들었는데, 현재까지 확인된 피싱 주소들은 고려대(cloud.kcrea.rf[.]gd), 경희대(files.khu.rf[.]gd)를 포함해 경남대(clouds.kvongnum.rf[.]gd), 이화여대(ewha-cloud.epizy[.]com), 서강대(clouds.sogang.rf[.]gd) 등도 발견됐다.
구체적으로는 초반부에 정상 내용으로 자연스럽게 접근하고, 이후 이메일 회신 등 관심을 보이는 대상자를 선별해 악성 파일을 개별 첨부한다.
이스트시큐리티 시큐리티대응센터(이하 ESRC)는 공격에 사용된 피싱 서버의 호스팅 서비스와 악성 DOC 문서의 공격 기법이 기존 ‘페이크 스트라이커(Fake Striker)’ 위협 캠페인과 일치한 것으로 분석하고 이번 위협의 배후를 북한 연계 해킹 조직 소행으로 최종 지목했다.
