이스트시큐리티, 특정 정부와 연계된 APT 해킹 그룹 ‘탈륨’ 소행으로 추정

▲ ‘클라우드 사용 확인 안내’ 피싱 이메일 예시(제공: 이스트시큐리티)

[아이티데일리] 대북 분야 종사자를 대상으로 한 피싱 이메일이 유포되고 있어, 각별한 주의가 요구된다. 이번 공격은 ‘클라우드 사용 확인 안내’라는 내용으로 위장하고 있으며, 포함된 링크를 클릭하면 악성 URL로 연결돼 사용자의 PC 정보를 수집하는 것으로 조사됐다.

25일 이스트시큐리티(대표 정상원)는 대북 분야 종사자를 대상으로 유포되는 악성 이메일을 발견하고, 특정 정부와 연계된 APT 해킹 그룹 ‘탈륨(Thallium)’의 소행으로 추정했다.

이번에 발견된 악성 이메일은 ‘클라우드 서비스의 갤러리 사용이 확인됐다’는 본문 내용으로 사용자를 속였다. 또한 본문에는 강조된 글씨체로 ‘자주 묻는 질문’ 링크를 첨부하고 있으며, 이 링크를 클릭하면 공격자가 설정해둔 악성 URL로 연결된다. 악성 URL에서는 사용자의 환경 정보를 수집하고, 클라우드 서비스의 정상적인 고객센터 페이지로 다시 연결시켜 사용자가 의심하지 못하도록 했다.

이스트시큐리티 시큐리티대응센터(ESRC)가 이번 공격을 조사한 결과, 공격에 사용된 명령제어서버는 국내 특정 아웃소싱 기업의 서버가 악용됐다. 또한 ‘112.175.85.xxx’, ‘121.78.88.xxx’ 아이피(IP) 주소 대역이 사용됐다. 이스트시큐리티는 해당 주소대역이 ‘탈륨’의 활동 반경과 일치하며, 추가 공격 또한 발견됐다고 설명했다. ‘탈륨’은 이전에도 국내 방위 업체, 대북 연구 분야 종사자, 탈북민, 북한 취재 기자 등을 집중 공격한 조직으로 추정되고 있다.

문종현 ESRC장은 “특정 정부가 연계된 것으로 알려진 탈륨 조직이, 국내 대북 분야 활동가들을 상대로 거의 매일 사이버 첩보전을 수행하고 있다 해도 전혀 과언이 아닐 정도로 위협이 고조되고 있다”면서, “탈륨 조직의 APT 공격 수법이 갈수록 다양화 고도화되는 추세이기 때문에, 보다 각별한 주의가 요구된다”고 강조했다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지