​

최근북한당국과연계된것으로알려진‘탈륨’해킹조직의표적공격이급증하고있어각별한주의가필요합니다.

해당그룹은이메일수신대상자의금융거래심리를교묘히활용해,마치국내시중은행의공식안내메일처럼위장하거나설문지응답또는세미나참석에따른소정의사례비명목으로수신자를현혹하고있습니다.특히,지난2021년한미정상회담기간중에도외교·안보·통일및대북분야전문가를상대로해킹시도정황이진행된것으로드러났습니다.

공격유형으로여전히악성MS워드(DOC)문서가성행하는편이지만,최근금융회사이메일로사칭한공격에는악성엑셀(XLSX)문서가사용되었습니다.이들은평소바카라 고정 배팅경계심이높은인물에대한공격시도엔먼저정상이메일을수차례보낸후,어느정도안심시킨시점에본격적인공격을수행하는신뢰기반의위협시나리오를적용하는등갈수록치밀함과대담성이드러나고있습니다.

국내 시중은행의 바카라 고정 배팅 명세서로 위장한 엑셀 문서가 실행되면 악성 매크로 코드 실행을 유도하기 위해 ‘차단된 콘텐츠를 허용해 주시기 바랍니다.’ 등의 가짜 안내 화면을 보여주는 전형적인 매크로 공격 방식이 사용됐고, 이용자가 만약 이 화면에 속아 [콘텐츠 사용] 버튼을 누르게 되면 악성 명령이 작동되어 개인정보 유출 및 예기치 못한 해킹 피해로 이어질 수 있어 절대로 해당 버튼을 누르지 않도록 주의해야 합니다.

이처럼이메일에첨부된문서를다운로드받아악성매크로를실행하도록유인하는수법도나날이교묘해지고있는데,최근발견된사례비양식으로위장한유형에서북한프로그래머가주로사용하는‘창조’라는용어가매크로실행유도수법으로포착되었습니다.보통이런단어표기는국내에서‘창조’대신‘작성’또는‘개발’등의표현으로대체됩니다.

라자루스그룹의악성DOC문서사례에서‘프로그람’이라는북한표기법이사용된것도공개한바있습니다.

최근포착된유사사례들을종합분석한결과,북한당국의지원을받아활동하는해킹조직‘탈륨(Thallium)’은‘김수키(Kimsuky)’라는이름으로도사용되는데,악성DOC문서를공격에적극적으로활용하고있으며,감염대상자들이현혹될만한주제나키워드를선정하는데많은노력을기울이는것으로나타났습니다.

더불어1차해킹에성공한사람의이메일을은밀히관찰하고있다가또다른지인과주고받는정상이메일에몰래개입해실제사용자가동일주제로연락하는내용처럼신분을위장해2차공격을수행하는등위험노출빈도가점차높아지고있는추세입니다.

페이크스트라이커(FakeStriker)로명명된이번탈륨조직의APT공격캠페인이급증하고있고,주로대북분야에서활동하는인물들이위협블랙리스트에존재합니다.마치금융거래나사례비지급처럼금전적심리를자극하는등갈수록수법이교묘해지고있어유사한위협에노출되지않도록각별한주의와관심이요구됩니다.

현재알약에서는해당악성코드를Trojan.Downloader.XLS.gen,Trojan.Downloader.DOC.Gen, Trojan.Agent.479654T탐지 명으로 진단하고 있으며, 관련 상세 분석보고서는 Threat Inside 웹서비스 구독을 통해 확인이 가능합니다.