0xNews - 신종 랜섬웨어로 한국 기업을 노리는 북한 해커 공격 경고
0xNews - 신종 랜섬웨어로 한국 기업을 노리는 북한 해커 공격 경고 MS TSIC Microsoft Threat Intelligence Center 발표 https://www.microsoft.com/security/blog/2022/07/14/north-korean-threat-actor-targets-small-and-midsize-businesses-with-h0lygh0st-ransomware/ 2021년 9월부터 한국 기업을 대상으로 하는 사이버 공격에 랜섬웨어가 사용되는 공격 확인 H0lyGh0st 라는 이름의 해커 그룹으로 MS 에서는 DEV-0530 으로 지정하여 추적 중 제조업, 은행, 학교 등 중소기업을 주요 대상으로 공격하는 것으로 확인 H0lyGh0st 페이로드와 함께 DEV-0530 은 공격 대상자 시스템에 설치 후 연결되는 사이트로 .onion 사이트 지목 공격이 성공하면 대상 기기의 모든 파일 암호화 후 파일 확장자를 .h0lyenc 로 변경 피해자에게 증거로 파일 샘플을 보낸 후 파일에 대한 복원을 대가로 비트코인으로 지불할 것을 요구 현재까지 확인 결과 DEV-0530 은 피해자에게 1.2~5BTC 요구 중 암호화폐 지갑 분석 결과 2022년 7월초까지 피해자로부터 몸값 지불은 없는 것으로 확인 DEV-0530 은 DarkSeoul 혹은 Andariel 로 불려지는 다른 북한 기반 공격 그룹과 관련이 있는 것으로 파악 공격자는 랜섬웨어의 공격 환경이 점점 알려지면서 공격 성공 빈도가 낮아지면서 공격자의 정보가 외부 노출되는 것을 감안하면서 보다 더 적극적으로 수행 GoodWill 과 같은 부자가 가난한 자에게 기부를 함으로써 빈부격차를 줄이자는 명분을 내세우는 랜섬웨어 공격도 발견되면서 오히려 당당하게 랜섬웨어 공격의 정당성을 주장 Andariel 공격 그룹과는 기술적 이동 경로가 인프라 세트와의 중복 정보가 노출되면서 두 집단을 관리하는 상위 그룹이 동일한 것으로 분석 DEV-0530 활동은 한국 표준시 UTC +0900