북한 해킹그룹 김수키, ‘사례비 지급’ 내용으로 위장한 이메일로 Emotet 악성코드 유포
Microsoft OneNote 첨부 파일로 위장해 악성코드 다운로드 유도
최근 몇 년간 MS Excel 파일, OneNote 등 다양한 파일 악용…각별한 주의 필요
[보안뉴스 김경애 기자] 북한의 해킹그룹 김수키가 마이크로소프트의 원노트(OneNote)를 이용해 악성코드 Emotet을 유포한 정황이 포착돼 주의가 요구된다.
![[보안뉴스 / 4.5.] 北 김수키 해킹그룹, ‘사례비 지급’ 위장한 원노트 악용해 악성코드 유포](http://www.boannews.com/media/upFiles2/2023/04/691262027_191.jpg)
▲마이크로소프트의 원노트(OneNote)를 이용해 악성코드 Emotet이 유포된 정황 화면[이미지=리니어리티]
지난 2일 포착된 Emotet 악성코드는 ‘사례비 지급’ 내용으로 위장해 Microsoft OneNote 첨부 파일로 이메일을 통해 배포됐다. 원노트를 실행하면 사용자가 뷰파일을 보지 못하도록 가려놓은 후, 보기 위해선 더블 클릭을 하도록 유도하고 있다. 사용자가 더블 클릭을 하면 Emotet 악성코드를 다운로드하게 된다.
이와 관련 리니어리티 한승연 대표는 “마이크로소프트가 인터넷에서 다운로드 된 매크로의 실행을 차단하는 보호조치를 시행한 이후, 북한을 비롯한 다수의 공격 조직들이 원노트를 악용해 악성코드를 유포하고 있다”며, “이메일, 인터넷 링크 등을 통해 외부에서 유입되는 원노트 파일을 제대로 검사하고 탐지할 수 있는지 확인이 필요하다”고 당부했다.
원노트(OneNote)를 이용해 악성코드 Emotet를 유포된 정황은 지난 3월 27일에도 포착된 바 있다. 당시 이를 분석한 안랩 ASEC 분석팀에서는 최근 Emotet 악성코드가 원노트(OneNote)를 통해 유포되고 있다고 발표했다. 스피어피싱을 기반으로 이메일을 통해 악성 스크립트 파일(JS 파일)이 포함된 원노트 열람을 유도하고, 최종적으로 실행된 악성스크립트 파일은 지정된 명령제어(C2) 서버에 접속해 Emotet 악성코드를 다운로드한다고 밝힌 바 있다.
Emotet 악성코드의 경우 2021년 미국, 영국 등의 사법기관에서 Emotet 봇넷을 무력화하는 데 성공했지만 2022년 하반기부터 다시 활동을 재개한 상황이다. 2014년 뱅킹 트로이잔으로 불릴 만큼 그동안 금전을 노린 해킹을 주로 수행해 왔다. 그러다 최근 랜섬웨어나 추가 악성코드 다운로더로 악용되고 있는 추세다.
이렇듯 원노트를 악용한 사이버 공격 추세와 관련해 한국인터넷진흥원 침해대응 심재홍 단장은 “이번 원노트를 이용한 정보탈취 공격은 사회공학적 공격기법으로, 공격자들은 새로운 방식을 항상 실험하고 성공이 입증되면 공격을 감행한다”며 “최근까지 오피스 문서의 매크로 기능을 악용해 왔지만 오피스 매크로의 보안기능이 강화되면서 공격자들이 새로운 돌파구를 찾고 있는 것으로 보인다. Emotet 봇넷은 생존력이 높은 봇넷으로 잘 알려져 있고, 트로이목마나 랜섬웨어를 유포하는 매개체로도 악용되고 있다. 즉, Emotet 악성코드에 감염되면 여러 형태의 공격에 당할 수 있다”며 주의를 당부했다.
이어 심재홍 단장은 “사회공학적 공격기법은 교묘한 방법으로 이용자들을 속여 악성코드를 실행하도록 유도하는 방식”이라며 “이메일로 온 자료를 의심하기는 쉽지 않지만, 메일 내용이 본인과 관련 있는 사안인지 체크하고 모르는 발신자인 경우 열람하지 말아야 한다”고 말했다. 즉, 평소와 다른 이메일이라면 일단은 의심하고 봐야 한다는 것. 만일 첨부문서를 열었을때 문서 내 링크가 있다면 마우스로 클릭하지 않고도 링크가 어디로 연결되는지 확인할 수 있다는 게 그의 설명이다.
고려대학교 김휘강 교수는 “김수키 그룹의 이러한 공격은 MITRE의 TID 기준으로 T1204.001, T1204.002로 식별되는 유형으로, 김수키 그룹은 2014년부터 전통적인 피싱 메일을 통해 계정정보 탈취를 해오고 있다”며 “이를 위해 최근 몇년 간 MS Excel 파일, OneNote 파일 등 다양한 유형의 파일을 악용해 악성코드에 감염시키고 있으므로, 외부로부터 유입되는 MS Office 문서들을 열어볼 때 항상 주의해야 한다”고 강조했다.
누리랩 최원혁 대표는 “원노트 사용자는 꾸준히 증가하는 추세로 공격자의 좋은 먹이감이 될 가능성이 크다”며 “원노트는 다른 MS 오피스 제품군에 비해 보안 수준이 다소 낮은 편이며 윈노트를 이용한 공격을 정밀하게 탐지하는 보안 제품도 준비 시간이 필요하다. 따라서 당분간 원노트를 이용한 공격은 지속될 것으로 예상된다”고 말했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 12.4.] 서울경찰청 정진호 경감 “북한 해커조직 안다리엘, 랜섬웨어로 4억 7,000만원 뜯어내”](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/12/주석-2023-12-04-190034-500x383.png)
![[보안뉴스 / 12.4.] 전 세계 95%의 컴퓨터에 영향을 주는 위험한 취약점 로고페일](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/12/주석-2023-12-04-185841-500x383.png)
![[보안뉴스 / 4.5.] 北 김수키 해킹그룹, ‘사례비 지급’ 위장한 원노트 악용해 악성코드 유포](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
