"노태우 조문 뉴스 사칭해 해킹 시도"

입력 2021-10-28 09:39  

락토핏 당케어 광고 이미지
난각막NEM 광고 이미지



보안 기업 이스트시큐리티는 28일 고 노태우 전 대통령 조문 뉴스를 가장한 이메일을 이용한 해킹 시도가 있다며 주의를 당부했다.
이스트시큐리티는 해커가 북한 관련 분야에서 활동하는 대북 전문가들을 주요 표적으로 삼아 `네이버 뉴스<<a href="mailto:news@navercorp.corn>`">news@navercorp.corn>`라는 발신자명으로 된 이메일을 보냈다고 설명했다.
실제 이메일 발신지는 불가리아 이메일 서비스인 "mail.bg"인 것으로 밝혀졌다. 이 서비스는 북한과 연계된 사이버 위협 조직에 의해 그동안 여러 차례 사용된 적이 있다.
이스트시큐리티는 이번 공격의 배후가 `탈륨`으로 불리는 북한 정찰총국 연계 해킹 그룹으로 지목됐다고 전했다. 이 이름은 미국 마이크로소프트(MS)가 붙였다.

이메일 본문은 노 전 대통령의 법적 사위인 최태원 SK 회장이 서울대병원 장례식장에 있는 빈소를 찾아 조문하고 미국 출장길에 오른다는 내용의 뉴스로 위장해 수신자의 경계심을 낮췄다.
공격에 사용된 문구와 조작된 가짜 사이트 화면은 네이버에 게시된 실제 언론사 뉴스 내용을 무단 인용했다.
본문에 포함된 `뉴스 바로 가기`링크 2개가 `nid.livelogin365.in[.]net`이라는 해외 서버로 접속을 유도한다.
사용자가 이 주소에 접근하면 IP 주소와 웹 브라우저 등 일부 정보가 노출될 가능성이 있으며, 해커 의도에 따라 추가 악성 파일이 설치될 위험성이 있다. 이후 `nnews.naver-con.cloudns[.]cl` 주소로 이동시켜 실제 뉴스 내용처럼 위장한 가짜 화면을 보여준다.
탈륨은 그간 악성 매크로(macro) 명령을 삽입한 DOC, XLS 문서나 PDF 취약점 공격을 주로 사용했으나, 이번에는 이메일 본문에 가짜 링크를 넣어 클릭 여부를 체크하고 위협 행위가 감지되는 것을 최소화하기 위한 `정찰 단계`가 관측됐다.
이스트시큐리티는 새롭게 발견된 악성 피싱 주소의 긴급 업데이트를 완료했으며 피해 확산 방지를 위한 대응 조치를 관련 부처와 긴밀하게 협력하고 있다고 설명했다.

관련뉴스

    top
    • 마이핀
    • 와우캐시
    • 고객센터
    • 페이스 북
    • 유튜브
    • 카카오페이지

    마이핀

    와우캐시

    와우넷에서 실제 현금과
    동일하게 사용되는 사이버머니
    캐시충전
    서비스 상품
    월정액 서비스
    GOLD 한국경제 TV 실시간 방송
    GOLD PLUS 골드서비스 + VOD 주식강좌
    파트너 방송 파트너방송 + 녹화방송 + 회원전용게시판
    +SMS증권정보 + 골드플러스 서비스

    고객센터

    강연회·행사 더보기

    7일간 등록된 일정이 없습니다.

    이벤트

    7일간 등록된 일정이 없습니다.

    공지사항 더보기

    open
    핀(구독)!