□ 통일부 자료 사칭 악성 이메일 공격과 ‘통일 이야기 공모전 문서 사칭’ 악성코드 공격 확산

최근 북한 연계 조직의 소행으로 추정되는 APT 공격이 확산되고 있어 사용자의 피해가 우려 됩니다. 해당 공격의 배후로 북한 정보가 공식적으로 연계된 것으로 알려진 해킹조직 ‘탈륨’ 과 ‘금성121’이 지목되고 있어 사용자의 각별한 주의와 대비가 필요합니다. 이에 정보통신원에서는 해당 메일의 유형과 대응 방안을 안내 드립니다. 아래 내용을 참조하시어 피해예방 부탁드립니다.

□ 통일부 자료 사칭 악성 이메일

[그림1] 통일부 사칭 '월간 북한 동향' 문서

1. 통일부 사칭 공격은 악성 문서 파일을 첨부한 이메일을 발송해 수신자가 파일을 열어보도록 현혹하는 전형적인 스피어피싱(특정인의 정보 탈취를 위한 피싱 공격)공격처럼 보이지만 실제로 첨부 파일이 아닌 악성 링크를 활용한 공격 방식으로 확인

2. 공격자가 발송한 이메일 본문에는 통일부에서 발행한 것처럼 문서 첫 장의 이미지가 삽입되어 있고 이미지 하단에 PDF문서가 첨부되어 있는 것처럼 링크가 삽입되 클릭을 유도

3. 해당 링크 클릭 시 문서가 표기되나 메일 수신자의 이메일 계정 암호 입력을 요구하는 화면 표시

4. 사용자의 계정 암호 입력 정보를 공격자가 탈취 개인정보 유출 및 계정 도용에 의한 2차 피해 발생 가능

□ 통일이야기 공모전 사칭 악성코드 공격

[그림2] 지자체 사칭 공모전 참가 신청서

1. 춘천시 주관 실제 개최하는 ‘평화 · 통일 이야기 공모전’ 참가 신청서 사칭 악성 한글 문서를 활용

2. 실제 올해 개최되는 공모전의 정식 명칭은 ‘2020 평화 · 통일 이야기 공모전’ 으로 악성문서의 경우 ‘2021 평화 · 통일 이야기 공모전’ 참가 신청서로 공격자가 연도만 조작

3. 악성문서에는 화면 전체를 덮는 크기의 투명 객체(OLE 객체)가 삽입되어 있으며 사용자가 첨부된 문서의 편집을 위해 클릭하면 악성코드가 실행되는 방식 

※ 문서파일 취약점을 악용하지 않기 때문에 최신 버전의 프로그램을 사용하거나 보안업데이트를 모두 적용한 경우에도 악성 코드 실행 가능

□ 피해 예방 방법

1. 메일 수신 시 출처가 불분명한 사이트 주소는 클릭을 자제하고 즉시 삭제

2. 의심되는 사이트 주소의 경우 정상 사이트와 일치여부를 확인하여 피해 예방

3. 출처가 불분명한 첨부파일 및 문서 실행을 지양하고 운영체제 및 응용프로그램 최신 업데이트 필수

4. 해당 악성코드는 교내 설치된 알약 백신을 통해 탐지 및 치료가능(최신 업데이트 필수) 

> Trojan.Hwp.223232A 으로 탐지