Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향북한 해커들의 Credentials 도난 캠페인이 발견되다.
작성일 2021-11-22 조회 5550

 

 

 

최근, 북한과 관련된 그룹이 정부, 교육, 언론 등을 대상으로 한 대량의 정보 탈취 캠페인에 접점이 있으며, 이 중 두 건의 공격은 정보 수집에 사용될 수 있는 악성 코드를 배포하려는 정황이 포착됐다.

 

보안기업인 Proofpoint에 따르면 이번 공격의 배후로 TA406 그룹을 지목했으며 이 외에도 Kimsuky, Velvet Chollima, Thallium, Black Banshee, ITG16, Konni Group 등을 조사 범위에 포함했다. 그들은 "정책 전문가, 언론인, 비정부기구 등을 대상으로 2021년 1월부터 6월까지 공격 캠페인을 펼친 것으로 보고 있다. 주요 국가로는 북미, 러시아, 중국, 한국이다." 고 언급했다. 현재도 더 많은 공격이 발견되는 가운데, 북한 공격자들은 핵무기 안전, 정치, 그리고 한국의 외교 정책과 관련된 주제를 다루면서 격주로 한 이메일 위협 캠페인을 시작한 상태다.

 

이달 초 Cisco Talos 또한, 2021년 6월부터 진행 중인 Kimsuky의 새로운 캠페인을 공개했다. 해당 그룹은 한국의 항공우주 연구 기관을 포함한 높은 가치의 목표물을 대상으로 공격을 진행했으며 이때 정보 수집 악성 코드로 2018년 평창 올림픽 때 사용된 Gold Dragon, Brave Prince가 발견됐다.

 


[그림1. 북한 그룹의 공격 체인]

 

 

 

Talos의 연구원들은 "이번 공격은 매크로가 포함된 악성 오피스 문서가 피해자에게 전달되는 것으로 시작된다." 고 설명했으며, 감염체인 중 악의적인 블로그에 접근 시켜 피해자가 공격할 가치가 있는지 확인 후 악성 코드가 포함된 컨텐츠로 업데이트 한다고 언급했다. 

 

현재 공격자들은 윈도우 키로거인 YoreKey, 한국의 암호화폐 사용자들을 목표로 한 수많은 악성 안드로이드 앱 등 다양한 악성코드를 유포하고 있다. 보안 연구진들은 "Kimsuky가 피싱메일 뿐만 아니라 악성 코드 유포에도 활발해지고 있다. 이는 북한의 미사일 발사와 맞물려 눈에 띄는 변화를 겪은 것으로 보인다" 며 주의를 당부했다.

 

출처

 

https://thehackernews.com/2021/11/north-korean-hackers-found-behind-range.html

 

첨부파일 첨부파일이 없습니다.
태그 북한