[아이뉴스24 최은정 기자] 이스트시큐리티는 특정 정부 후원을 받는 것으로 추정되는 공격 그룹 '라자루스(Lazarus)'의 국내외 지능형지속위협(APT) 공격이 활발히 진행되고 있다며 27일 주의를 당부했다.
이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 최근 발견된 APT 공격 중 라자루스가 위협 배후로 추정되는 공격은 블록체인 소프트웨어(SW) 개발 계약서, 한미관계와 외교안보, 항공우주기업 채용 관련 문서, ○○광역시 코로나 바이러스 대응, 성착취물 유포사건 출석통지서 사칭 등이 있다.
이중 블록체인 SW 개발 계약서로 위장한 스피어 피싱 공격의 경우 악성 이메일에 실제 전자지불 관련 서비스를 제공하고 있는 기업명이 언급돼 있다는 게 회사 측 설명이다. 공격자는 해당 기업의 블록체인 SW 개발 계약서로 사칭한 서류를 검토해 달라는 내용으로 악성 첨부파일을 열도록 유도했다.
![블록체인 SW 개발 계약서로 위장한 악성 이메일 화면 [이미지=이스트시큐리티]](https://img-lb.inews24.com/image_gisa/202004/1587963657621_1_140211.jpg)
또한 지난 1일 발견된 ○○광역시 감염병관리지원단 사칭 코로나19 확진자 발생 관련 협조요청 위장 공격 역시 국내 비트코인 거래 관계자가 공격 대상에 일부 포함된 것으로 나타났다. 이 외에도 지난 20일에는 한미관계와 외교안보 제목을 가진 악성 마이크로소프트(MS) 워드(.doc) 문서가, 24일에는 미국 항공우주기업 채용 관련 문서로 둔갑한 악성 워드 문서가 발견됐다.
이들 조직이 사용한 악성 워드 문서는 'elite4print[.]com' 명령제어(C2) 서버를 동일하게 사용하고 있으며, 지난해 10월 인도 국영 항공우주 방위 회사의 채용 관련 문건 위장 공격과도 유사점이 있다.
라자루스는 해외 기관·기업을 공격할 때 채용 의뢰나 직무기술서로 위장한 이메일로 공격을 수행하는 일관성을 보이고 있다. 실제로 작년 1월 발견된 악성 파일의 이름은 'Job Description.doc(직무 분석.doc)'였다.
문종현 ESRC 센터장 이사는 "라자루스 그룹은 사이버 침투 작전과 함께 온라인 은행, 암호화폐 거래소 해킹 등을 통한 외화벌이를 조직적으로 수행하고 있다"며 "악성 문서 파일을 미끼로 주요 기업과 기관의 종사자들을 노리고 있고, 최근 위협 활동이 눈에 띄게 증가하고 있어 각별한 주의가 요구된다"고 강조했다.
최은정 기자 ejc@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기