0xNews - 자격 증명 도용 캠페인의 북한 해커의 배후 정보 리스트 공개
0xNews - 자격 증명 도용 캠페인의 북한 해커의 배후 정보 리스트 공개
ProofPoint 발표
북한과 관련 있는 해커 그룹의 정보 취합 결과 연구, 교육, 정부, 미디어와 기타 조직 등을 대상으로 하는 자격 증명 도용 캠페인에 대한 정보 확인
이중 일부는 공격과 정보 수집에 사용될 수 있는 맬웨어 배포
.png)
TA406 으로 명명된 해커 그룹인 침투를 담당
Kimsuky 로 널리 알려진 위협 정보 수집과 배포, 침투
https://malpedia.caad.fkie.fraunhofer.de/actor/kimsuky
https://attack.mitre.org/groups/G0094/
CrowdStrike 로 알려진 벨벳 천리마 Velvet Chollima
https://www.crowdstrike.com/blog/covid-19-cyber-threats/
MS 의 탈륨
PwC 의 블랙 밴시 Black Banshee
IBM 의 ITG16
https://securityintelligence.com/media/recent-activity-from-itg16-a-north-korean-threat-group/
Cisco Talos 의 코니 그룹 Konni Group
https://blog.talosintelligence.com/2017/07/konni-references-north-korean-missile-capabilities.html
2021년 1월부터 6월까지 관찰하고 추적된 공격 캠페인의 일환으로 다양한 대상으로 공격 수행
북미, 러시아, 중국, 한국 등이 그 대상
kimsuky 는 2012년부터 운영된 것으로 알려지며 사이버 스파이 활동을 목표로 함
정부 기관, 싱크 탱크 등 다양한 분야의 전문가를 대상으로 알려진 개인, 외교 정책이나 국가 안보 담당자 등을 대상으로 공격하고 정보를 수집
2021년 2분기 kasperkey APT 동향 보고서에서는
큰 우산을 구성하는 다른 APT 그룹과 마찬가지로 Kimsuky 에서는 BabyShark, AppleSeed, FlowerPower, GoldDragon 과 같은 여러 공격 클러스터가 있음을 확인
AppleSeed 하위 그룹 중 하나로 TA408
https://securelist.com/apt-trends-report-q3-2021/104708/
미국 CISA Cybersecurity and Infrastructure Security Agency 에서는
북한 공격 그룹에 감염된 페이로드를 보내거나 피싱 사이트에 민감한 자격 증명을 제출하도록 속이기 전 설득력 있는 사회공학과 워터링 홀 공격으로 표적을 낚아채는 것으로 유명
2020년 10월 해당 문제에 대한 경보 발령
https://us-cert.cisa.gov/ncas/alerts/aa20-301a
Cisco Talos 에서는 2021년 6월부터 진행 중인 Kimsuky 캠페인 공개
이 캠페인은 구글 Googld 의 블로그 서비스인 Blogger 플랫폼에서 호스팅되는 악성 블로그를 활용
지정학적, 항공 우주 연구 기관을 포함한 한국의 가치 있는 정보 획득을 목표로 함
파일 추출자, 정보 수집자, 정찰, 첩보 활동, 자격 증명 수집 등을 위한 자격 증명 도용자 역할을 하는 Gold Dragon/Brave Prince 제품군에서 파생된 지속적으로 진화하는 임플란트 공격 세트
매크로가 포함된 악성 MS Office 문서 maldocs 가 피해자에게 전달되는 것으로 시작
감염체인으로 인해 맬웨어가 공격자가 설정한 악성 블로그에 도달
블로그는 피해자가 공격자에게 가치 있는지 확인 후 블로그에 게시된 악성 콘텐츠를 업데이트할 수 있는 능력을 공격자에게 제공
https://blog.talosintelligence.com/2021/11/kimsuky-abuses-blogs-delivers-malware.html
공격은 점점 증가하는 추세이며 공격자는 합법적이로 정상적으로 활동 중인 정책 전문가의 신원 정보를 도용하여 사용
이메일 위협 캠페인을 시작하는 동시에 안전한 핵무기, 정치, 한국 외교 정책 등과 관련된 주체를 제공하여 유인
대상 개인이 사용자 지정 증명 수집 페이지로 피해자를 리디렉션하는 메시지에 포함된 악성 URL 을 통해 기업 자격 증명을 포기하도록 함
자격 증명 도난을 넘어 이동한 이메일은 북한 정보과 일치
악성 코드를 유포하는 매체가 될 때 kimsuky 피싱 캠페인 캠페인은 2021년 북한 미사일 시험 발사와 일치하는 변화를 보임
이메일에는 공격자가 제어하는 도메인으로 대상을 보낸 링크가 포함
원격 서버에서 추가 맬웨어를 설치하기 위해 15분마다 실행되는 예약된 작업을 생성하도록 조정된 바이너리가 포함된 압축 아카이브를 다운로드하도록 대상을 속이는데 사용
하지만 후속 페이로드가 관찰되지 않았기 떄문에 현재까지 공격에 대한 목표가 불분명
6월에 발생한 HTML 첨부 미끼를 사용하여 다운로드 FatBoy 를 배포한 캠페인 발견
배포한 후 대상 기기에 대한 폭넓은 정보 수집 후 다음 단계 정찰 스크립트를 검색하는데 사용
이전 코니그룹에 공격 시 사용한 정보와 동일한 것으로 보여 북한 해커 그룹의 수법으로 확인
현재 확인된 가장 주목할 공격 도구와 캠페인은 YoreKey
아는 윈도우 키로거, 한국의 암호화폐 사용자를 대상으로 공격 수행
여러 악성 안드로이드 앱, ionCube 의 소스 코드 보호 소프트웨어로 암호화된 파일을 디코딩하는 Deioncube 라는 난독화 서비스, 성적 유도 사기 sextortion scam 등이 포함
이메일을 수신한 피해자는 USD 500 상당의 비트코인을 한국에 기반을 둔 NGO 와 연결된 암호화폐 지갑으로 이체하도록 유도
위 NGO 는 도용된 것인지, 기부 메시지가 악의적으로 자신들의 웹사이트에 올라간 것인지 확인되지 않음
2021년 6월 기준 비트코인 암호화폐 자갑은 약 3.77 BTC 송수신
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.