북한과 연계된 것으로 추정되는 해킹조직이 한국 비트코인을 사칭한 공격을 감행했다.
이스트시큐리티 시큐리티대응센터(ESRC) 블로그는 한국 유명 암호화폐 거래소 업비트의 이벤트 경품 수령 안내로 사칭한 지능형지속위협(APT) 공격이 28일 포착됐다고 알렸다.
이번 공격은 한국의 유명 암호화폐 거래소를 사칭해 메일을 보내면서, '이벤트 당첨자 개인정보 수집 및 이용 동의 안내서.hwp'라는 이름의 악성 문서 파일을 첨부하는 방식이다.
이는 스피어 피싱 메일 형식으로, 실제 이메일이 발신된 곳은 해외 호스팅 서버다. 첨부파일을 열면 특정 명령제어 서버로 접속해 추가 악성 파일이 다운로드 된다.
또 메일 하단에 기한을 정해 회신을 유도하는 등 관심 유발과 심리적 압박을 통해 첨부 파일을 바로 열어 보도록 유도하는 방식도 사용됐다.
ESRC는 이번 공격 배후에 북한 배후설이 제기되는 해킹조직, 이른바 '김수키'(Kimsuky) 조직이 있는 것으로 추측했다.
앞서도 김수키 조직은 지능형지속위협(APT) 공격인 '오퍼레이션 페이크 스트라이커(Operation Fake Striker)'를 감행한 바 있다.
당시 이 조직은 통일부를 사칭한 이메일을 통일, 외교, 안보 분야 등에서 활동하는 이들을 대상으로 송신했다.
이 때에도 악의적 코드를 포함한 악성 HWP 문서파일을 첨부한 뒤, 기한을 정해 회신을 유도하는 등 관심 유발과 심리적 압박을 통해 첨부 파일을 바로 열어 보도록 유도했다.
ESRC는 "최근 암호화페와 관련 특정 정부의 지원을 받는 위협조직들의 활동이 증가하고 있다"면서 "각별한 주의가 요망된다"고 강조했다.
