[테크월드=이건한 기자] 코로나19 최초 발원국이 어딘가에 대한 설전이 벌어지고 있는 가운데, 보안전문기업 '파이어아이'는 베트남 공격그룹인 APT32에 의한 최신 사이버 위협 캠페인 내용을 발표했다. 파이어아이 맨디언트 위협 인텔리전스팀은 APT32가 최근 중국 정부에 대한 사이버 공격을 시도한 것에 대해 그것이 베트남 정부와 관련된 것으로 간주하고 있다.
APT32는 베트남 정부와 긴밀히 협력하는 첩보 스파이 그룹으로, 2013년부터 활동을 시작한 것으로 추정되고 있다. 주요 타깃은 베트남에 진출해 사업을 하고 있거나 투자 예정인 외국계 기업이다.
관련 악성코드는 SOUNDBITE, WINDSHIELD, PHOREAL, BEACON, KOMPROGO이며, 공격 경로는 소셜 엔지니어링 방법으로 피해자가 매크로를 사용하도록 유도하는 액티브마임(ActiveMime) 파일을 즐겨 쓴다. 해당 파일 실행 시 원격 서버에서 여러 악성 페이로드를 다운받게 되며, APT32 공격자는 스피어피싱 메일로 악성 첨부파일을 전달한다.
그리고 이들은 올해 1월부터 4월 4일까지 중국을 대상으로 코로나19 관련 정보를 수집하기 위한 공격을 수행한 것으로 추정되고 있다. 공격자는 코로나19가 처음 발견된 우한시와 중국 비상관리부이며, APT32는 이들 기관을 향해 스피어피싱 메시지를 전송했다. 파이어아이 맨디언트 위협 인텔리전스 수석분석가 존 헐트퀴스트(John Hultquist)는 이를 코로나19 위기 상황에 대한 해결책과 비공개 정보를 얻기 위한 국가적 차원의 활동으로 분석했다.
첫 공격은 1월 6일 APT32가 트래킹 링크가 포함된 이메일을 중국 비상관리부에 전송한 것으로 시작됐으며, 해당 이메일 발신 주소는 lijianxiang1870@163.com다. 제목은 ‘사무 기기 입찰 1분기 실적 보고(第一期办公设备招标结果报告)’로 업무 관련성을 노려 부주의적인 클릭을 유도한 것으로 보인다. 전형적인 스피어피싱의 형태다.
또 중국어 사용자를 대상으로 한 코로나19 주제 악성 첨부파일을 공격에 활용하기도 했다. 해당 문서는 ‘코로나19 실시간 업데이트: 중국은 현재 후베이성에서 오는 모든 여행자를 추적하고 있다(冠状病毒实时更新:中国正在追踪来自湖北的旅行者, MD5: c5b98b77810c5619d20b71791b820529)’는 제목과 함께, 뉴욕타임즈 게재 기사 사본을 보여준다.
아울러 libjss.inquirerjs.com란 도메인도 관련 공격에 활용된 것으로 보이며, 해당 도메인은 지난 12월 동남아 국가를 대상으로 한 메탈잭 피싱 캠페인의 C&C 도메인으로도 활용된 바 있다.
존 헐트퀴스트는 “코로나19 위기로 인해 정부에 대한 우려의 목소리가 커지고 있으며, 현재 만연한 불신이 불확실성을 증폭시키고, 공격자의 무자비한 정보 수집 행위를 초래하고 있다"며, "국가, 주, 시, 지방 정부, 비정부 기구, 국제기구 등은 물론 의료 연구 기관마저 표적이 되고 있다. 이번 위기가 끝날 때까지 관련 사이버 첩보 활동이 전 세계적으로 계속 심화 될 것으로 예상한다”고 전했다.
그래도 삭제하시겠습니까?