|
구글, 북한 해커가 보안 연구원 재공격 침해사고분석팀 2021.04.01 |
|
|
구글의 위협 분석 그룹(TAG)은 북한 해커들의 재공격에 대해 경고했다. 지난 1월, 북한 해커들은 트위터나 LinkedIn과 같은 SNS를 이용하여 보안 연구원들을 공격했었다. 하지만 최근에 북한 해커들이 이와 같은 공격을 다시 감행하고 있는 것으로 나타났다.
[그림 1. 지난 1월 북한 해커가 사용한 SNS 계정 프로필 ]
그들의 공격은 SecuriElite 라는 가짜 웹 사이트를 만들거나 해커들의 공격을 추적하는 서비스를 제공하는 방식으로 이뤄졌다. 지난 1월에 일어난 공격과 비슷하게 이 웹 사이트는 공격자의 PGP 공개 키를 호스팅 하도록 되어있다. 이 호스팅을 통해 보안 연구원들이 해당 웹 사이트를 열자마자 보안 연구원의 PC에 악성코드를 감염시킬 수 있다.
이러한 구글의 제보에 LinkedIn과 트위터는 즉각적으로 반응했다. LinkedIn과 트위터는 북한 해커들이 생성한 계정이나 이번 공격과 관련 있는 계정들을 모두 비활성화하도록 조치했다.
[그림 2. Safebrowsing으로 차단된 SecuriElite 웹 사이트]
이 SecuriElite 사이트는 공격 초기 단계에 발견되었기에 아직 악의적인 악성 코드를 보내지는 않았다. 그래도 공격을 미연에 방지하기 위해 구글 TAG 팀은 해당 사이트를 구글 Safebrowsing에 추가했다. 이전에 수행했던 공격을 볼 때, 그들의 공격은 새로운 제로 데이 취약점들을 이용하여 공격이 이뤄질 수 있기 때문이다. Chrome, Safari, Firefox, Vivaldi, and GNOME Web 브라우저는 해당 사이트로부터 오는 공격을 차단할 수 있다.
출처 https://www.bleepingcomputer.com/news/security/google-north-korean-hackers-target-security-researchers-again/ https://zdnet.co.kr/view/?no=20210127161800 https://en.wikipedia.org/wiki/Google_Safe_Browsing |
