Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향미공개 자료를 위해 보안 연구원들을 노리는 북한 해커들
작성일 2021-01-27 조회 25

 

북한 정부가 지원하는 해킹 그룹이 SNS를 통해 취약점 또는 익스플로잇 개발을 하는 보안 연구원을 표적으로 삼고 있다고 오늘 Google이 공개했다.

 

Google의 위협 분석 그룹이 발표한 보고서에 따르면 북한 정부의 지원을 받는 해킹 그룹은 SNS를 이용해 보안 연구원을 표적으로 삼고 커스텀된 백도어 악성 코드로 컴퓨터를 감염시킨다.

 

위협 행위자들은 가짜 트위터 프로필과 블로그를 만들어 보안 연구원으로서 가짜 페르소나를 만든다. 

 

이러한 계정은 Twitter, LinkedIn, Telegram, Discord, Keybase 및 이메일을 포함한 소셜 미디어를 통해 표적이 된 보안 연구원에게 연락하는데 사용된다.

 

 

[그림1. 공격에 사용된 SNS 계정들]

 

이 가짜 페르소나 구축의 일부분으로 위협 행위자는 기존 취약점을 분석하는 기사를 작성하거나 자신이 개발한 것으로 의심되는 PoC를 보여주는 비디오를 만든다.

 

구글이 본 한 사례에서, 위협 행위자들은 PoC 비디오가 가짜라는 이야기를 듣고 PoC가 가짜라는 주장을 반박하기 위해 가짜 트위터 계정을 만들기 시작했다.

 

"YouTube의 여러 댓글은 동영상이 위조되었으며 작동하는 악용 사례가 없음을 확인했습니다. 이러한 댓글이 작성된 후 배우는 두 번째 Twitter 계정(위협 행위자들이 제어함)을 사용하여 원래 게시물을 '가짜 동영상이 아니다' 라고 리트윗합니다." 라고 Google은 보고서에서 설명했다.

 

보안 연구원과 연락을 취한 후 위협 행위자는 취약성 연구 또는 익스플로잇 개발에 협력할 것인지 묻는다.

 

이 공동 작업의 일환으로 위협 행위자는 PoC 익스플로잇이 포함된 Visual Studio 프로젝트와  'vcxproj.suo' 라는 악성 숨겨진 DLL을 연구원에게 보낸다.

 

연구원이 PoC 익스플로잇을 빌드하려고 할 때, 미리 빌드된 이벤트는 사용자가 64 비트 버전의 Windows 10, Windows Server 2019 및 Windows Server 2016을 실행 중인지 확인하는 PowerShell 명령을 실행한다.

 

해당 명령에 대한 값이 PASS일 경우, PowerShell 명령은 rundll32.exe를 통해 악성 DLL을 실행한다.

 

 

[그림2. PowerShell 코드]

 

구글은이 DLL이 메모리에 삽입된 커스텀 백도어이며 명령을 실행하기 위해 명령 및 제어 서버를 다시 호출할 것이라고 말한다.

 

구글은 일부 연구원들이 단순히 위협 행위자의 blog.br0vvnn[.]io 사이트에있는 익스플로잇 글을 방문하는 것만으로도 감염되었다고 밝혔다.

 

이 연구원들은 최신 Google Chrome과 함께 완전히 패치된 Windows 10 장치를 사용했으며, 이는 위협 행위자가 제로 데이 취약점을 사용하여 방문자를 감염시키고 있음을 나타낸다.

 

구글은 이러한 공격의 궁극적인 목표를 밝히지 않았지만, 표적들을 기반으로한 공개되지 않은 보안 취약점과 익스플로잇들을 훔치기위한 것으로 추측하고 있다.

 

구글은 이 해킹 캠페인에 사용된 트위터 계정이 br0vvnn, BrownSec3Labs, dev0exp, djokovic808, henya290, james0x40, m5t0r, mvp4p3r, tjrim91, z0x55g라고 밝혔다.

 

 

 

출처

https://www.bleepingcomputer.com/news/security/north-korean-hackers-are-targeting-security-researchers-with-malware-0-days/

https://thehackernews.com/2021/01/n-korean-hackers-targeting-security.html

첨부파일 첨부파일이 없습니다.
태그