마이크로소프트가 스피어 피싱 공격을 통해 고객의 계정과 네트워크를 해킹한, 북한 사이버 첩보 그룹 Thallium을 고소했다. 12월 27일 미국 버지니아 동부 지방 법원에서 공개되지 않은 소송에 따르면, 해커들은 마이크로소프트 사용자들을 타깃으로 했다.
해당 그룹은 컴퓨터 사기 및 남용, 전자 통신 개인 정보보호법 위반에 대한 혐의로 고소되었다. 이들은 마이크로소프트 계장에서 중요 계정 도용을 목표로 했다.
Thallium은 공무원, 대학 직원, 인권 단체, 핵 확산 문제를 다루는 개인 및 단체를 대상으로 한다. 이들 그룹은 최소 2010년부터 활동해왔고, 마이크로소프트는 해커들이 지메일, 야후, 핫메일을 포함한 합법적 서비스를 사용하여 스피어 피싱을 시작했다고 설명했다.
원고 마이크로소프트는 익명(JOHN DOES) 1-2가 ‘Thallium’이라는 인터넷 기반 사이버 도난 작전을 수립했다고 주장하며, “피고는 우리 고객의 계정 및 컴퓨터 네트워크에 침입하며 민감한 정보를 도용하고 있다. 해당 그룹을 관리하고 지시하기 위해 피고는 인터넷에 웹 사이트, 도메인 및 네트워크를 구축하고 운영하여, 사용자 계정을 탈취, 장치를 감염시키고 네트워크를 손상시켜 민감한 정보를 훔쳤다”고 말했다.
Thallium은 사용자가 스피어 피싱 메시지에 포함된 악성 링크를 클릭하면, 합법적인 마이크로소프트 도메인으로 리디렉션 되는 기술을 사용한다. 이 트릭을 통해 공격자는 피해자를 속여 도메인이 마이크로소프트 도메인이고 상표도 존재하기 때문에 손상되지 않은 링크로 생각하게 한다.
APT 그룹이 민감 데이터를 훔치기 위해 가장 많이 사용한 멀웨어는 ‘BabyShark’와 ‘KimJongRAT’이다. 일단 사용자의 컴퓨터에 설치되면, 멀웨어는 대상 컴퓨터의 정보를 유출시키고 지속적으로 존재하면서 추가 지시를 기다린다. Bloomberg Law는 사이버 스파이 활동에 Thallium이 사용한 50개 도메인 목록을 공개하고, 이를 마이크로소프트의 고소 사항 부록A에 포함시켰다.
Thallium APT 그룹의 활동은 Netscout의 ATLAS 보안 엔지니어링 및 응답 팀 ‘ASERT’ 전문가들에 의해 모니터링되어 STOLEN PENCIL로 추적되었다. ASERT는 학술 기관을 타깃으로 하고, 사용자가 악성 구글 크롬 확장 프로그램을 설치하도록 속여 미끼 문서가 포함된 웹 사이트 링크가 있는 스피어 피싱 메시지를 사용하는 그룹을 관찰했다. 대부분 피해를 입은 사용자들은 여러 대학에 다니며, 생물 의학 공학에 전문 지식을 갖추고 있었다.
공격자들은 상용 도구를 사용하였으나 NetScout에 따르면 OPSEC(한국어 키보드, 한국 공개 웹 브라우저, 영어-한국어 번역기)이 불량한 것으로 나타났다.
마이크로소프트가 위협 행위자를 고소한 것은 이번이 처음은 아니다. 2017년7월, 이 회사는 소송을 통해 악명 높은 Fancy Bear APT 해킹 그룹이 수행한 수많은 사이버 스파이 활동을 중단시켰다.
또한 2019년 3월에는 Phosphorus로 추적되는 이란과 연결된 APT 그룹이 사용한 99개 도메인들을 통제했다고 발표했다.
★정보보안 대표 미디어 데일리시큐!★