국회입법조사처 사칭하여 '국방·외교·안보'분야 교수 해킹을 시도하는 北 연계 해킹토토 씨벳 주의!

​​

국회입법조사처를사칭하여'국방·외교·안보'분야교수를대상으로진행중인해킹토토 씨벳이발견되어관련자들의각별한주의가필요합니다.

​[그림 1] 수신자의 회신을 유도하는 피싱 메일

이번토토 씨벳은'국회입법조사처자문요청'의제목으로국방·외교·안보·정치분야에서활동하고있는불특정다수의교수들에게발송되었습니다.

해당메일은어떠한악성행위도하지않으며,단순히수신자의회신을유도하여토토 씨벳대상을물색하는역할을합니다.

메일을 수신한 교수들 중에서 회신을 한 교수들만이 실제 토토 씨벳 타깃이 되며, 토토 씨벳자로부터 악성파일이 첨부된 이메일을 추가로 전달받습니다.

피싱메일에는'자문요청서.docx'제목의파일이첨부되어있으며,만일수신자가해당첨부파일을클릭하면토토 씨벳자가구축한피싱사이트로접속됩니다.

​​

[그림 2] 대용량 파일 다운로드 페이지를 위장한 피싱 사이트

피싱사이트는대용량파일다운로드페이지를위장하고있으며,피해자로하여금피싱페이지내다운로드버튼을클릭하도록유도합니다.

​​

[그림 3] 계정 탈취를 토토 씨벳 피싱 페이지

만약피해자가다운로드버튼을클릭하면피해자계정정보입력을유도하는피싱페이지로이동시켜계정정보탈취를시도합니다.

​

​[그림 4] 토토 씨벳 완료 후 보여주는 정상 문서

만일피해자가계정정보를입력하면입력한계정정보는토토 씨벳자서버로전송되며,정상적인워드파일을내려줌으로써피해자로하여금해킹토토 씨벳임을인지하지못하도록합니다.

이번 토토 씨벳에 사용된 서버 118.36.192[.]211은 nca.naverccrp[.]com, xn--nid-mo0a[.]naverccrp.com, m.naverccrp[.]com 등 여러번 일반 사용자들 대상으로 진행된 피싱 토토 씨벳에도 악용된 적이 있는 것으로 확인되었습니다.

北소행으로지목된사이버안보위협은외교·안보·토토 씨벳분야의관계자들을대상으로은밀하게지속되고있어관련사용자들의각별한주의가요구됩니다.

한편,이스트시큐리티ESRC는이와관련된사이버위협정보를한국인터넷진흥원(KISA)등관계당국과긴밀히공유해기존에알려진위협이확산되지않도록협력을유지하고있습니다.

​

​