이스트시큐리티 "매크로 유도 악성 문서 발견…래저러스와 유사"

북한과 연계된 해킹조직으로 추정되는 '래저러스'(Lazarus)가 한국에 이어 영어권 국가를 노린 APT(지능형지속위협) 공격을 지속하는 것으로 파악됐다.

보안업체 이스트시큐리티는 이달 정부 차원의 후원을 받는 래저러스와 유사한 공격 사례를 추가로 포착했다고 13일 밝혔다.

이스트시큐리티의 사이버 위협 인텔리전스 전문조직인 시큐리티대응센터(ESRC)는 최근 매크로 실행을 유도하는 악성 문서를 발견했다.

해당 문서는 지난달 말 제작된 것으로 확인됐다.

문서를 제작한 공격자는 주로 해외를 공격하는 것으로 추정됐다.
"북한 추정 해킹조직 공격 추가 발견…영어권 국가 노려"
악성 문서를 실행하면 마이크로소프트 오피스 버전 문제로 매크로(자동명령)를 실행하도록 유도하는 영문 문구가 뜬다.

매크로를 실행하면 특정 웹사이트로 접속해 추가로 악성 파일을 설치한다.

문서에 담긴 악성코드는 4개의 명령제어(C2) 서버와 통신을 시도하고 2개의 한국, 2개의 미국 IP(인터넷주소)를 사용한다.

또한 내부 암호화 코드를 푸는 방식(복호화 루틴) 역시 올해 2월 래저러스로 추정되는 해외 해킹 공격과 유사한 것으로 확인됐다.

시큐리티대응센터는 해당 문서를 조사하던 중 백도어(정보유출통로) 기능을 수행하는 바이너리(EXE) 시리즈도 발견했다.

이 시리즈는 지난 7일 제작된 것으로 확인됐다.

시큐리티대응센터는 "해당 문서는 주로 영어권에 있는 사람을 공격하기 위해 만든 것으로 보이나 코드 페이지가 한국어로 설정된 점을 보면 한글 기반의 환경에서 제작했을 가능성이 높다"고 설명했다.

이어 "최근까지도 특정 정부의 지원을 받는 것으로 추정되는 APT 공격그룹의 활동이 활발히 전개되고 있어 각별한 주의가 필요하다"고 강조했다.
"북한 추정 해킹조직 공격 추가 발견…영어권 국가 노려"
/연합뉴스