하우리 로고 이미지

전체메뉴 열기

Boan News

보안뉴스 매체사 기사

뉴스 클리핑

북한 해커들, 새로운 멀웨어 활용하여 대북 매체 기자들 겨냥
등록일 :
2022.04.26
체제에 대한 부정적인 의견을 도무지 받아들이지 못하는 북한이 해커들을 풀어 대북 매체 기자들을 공격하기 시작했다. 그러면서 새로운 멀웨어까지 등장했다. 이름은 골드백도어라고 하며, 이전에 등장했던 멀웨어의 변종인 것으로 보인다.

[보안뉴스 문가용 기자] 북한과 관련된 내용을 취재 및 보도하는 기자들을 겨냥한 새로운 스피어피싱 캠페인이 발견됐다. 이를 분석한 결과 APT37 혹은 리코쳇천리마(Ricochet Chollimia)라고 불리는 해킹 단체가 배후에 있는 것으로 밝혀졌다. 리코쳇천리마는 북한 정부가 지원하는 해킹 집단으로 알려져 있다.

[이미지 = utoimage]


이번 캠페인의 독특한 점은 북한의 해커들이 새로운 멀웨어를 사용하기 시작했다는 것이다. 이 멀웨어는 일종의 백도어이며, 이름은 골드백도어(Goldbackdoor)다. 분석 결과 블루라이트(Bluelight)라는 멀웨어의 변종인 것으로 밝혀졌다. 블루라이트 역시 이전 공격 캠페인에서 APT37이 사용하던 공격 도구다. 

이러한 북한의 움직임을 포착하여 보고서를 발표한 건 보안 업체 스테어웰(Stairwell)로, 3월 18일 북한 전문 매체인 NK뉴스의 기자들에 다량의 메일이 전송된 것을 파악했다고 한다. 메일들은 전 한국 국가정보원장의 개인 메일 주소로부터 발송된 것처럼 꾸며졌다. 메일 내에는 골드백도어가 포함되어 있었고, 따라서 메일의 첨부 파일을 열 경우 감염되게 설계되어 있었다. NK뉴스 측은 이를 스테어웰에 넘겨 분석을 의뢰했다.

보안 업체 노비포(KnowBe4)의 보안 고문인 에릭 크론(Erich Kron)은 “직업의 특수성 때문에 기자들은 항상 사이버 공격 및 감시, 검열의 표적이 되곤 한다”고 설명하며 “기자들이 보유하고 있는 정보를 가져가고 싶어 하는 사람들은 어디에나 존재한다”고 공격의 동기에 대해 말한다. 

“북한 정권의 경우 모든 뉴스와 언론 취재를 정부가 바짝 통제하고 있습니다. 통제의 목적은 북한 정권이나 지도자가 부정적으로 내비치는 걸 전면 차단하기 위한 것인데요, 이러한 활동이 종종 해외에서도 이어지곤 합니다. 북한은 정권과 지도자에 대한 부정적 의견을 국가적 위협으로 간주하고 있기 때문입니다.”

지난 해에도 한국의 북한 전문 매체 데일리NK에서 북한 해커들이 만든 멀웨어가 발견된 바 있다. 당시 공격자는 잉키스퀴드(InkySquid)로 불렸고, 이들이 사용한 멀웨어는 블루라이트였다. 당시에도 블루라이트는 처음 발견된 멀웨어였고, 북한 해커들이 직접 제작한 것으로 분석됐다.

3줄 요약
1. 한국의 북한 전문 매체 NK뉴스, 북한 해커들의 표적이 됨.
2. 골드백도어라는 새로운 멀웨어가 이번 공격 캠페인에서 발견됨.
3. 골드백도어는 블루라이트라는 북한 해커들의 이전 멀웨의 변종.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  • - 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • - 본 정보에 대한 이용문의는 "보안뉴스(www.boannews.com)"로 문의하여 주십시오.

Top