2024-12-22 01:15 (일)
북한 사이버공격 그룹, 미군 가운데 한국어 사용자 타깃 공격 진행
상태바
북한 사이버공격 그룹, 미군 가운데 한국어 사용자 타깃 공격 진행
  • 페소아 기자
  • 승인 2023.07.31 11:23
이 기사를 공유합니다

미군 가운데 한국어를 사용하는 개인들을 타깃으로 한 북한 사이버공격 그룹의 피싱공격이 지속적으로 발행하고 있다고 해외 더해커뉴스가 최근 보도했다. 

사이버 보안 회사 시큐로닉스(Securonix)는 ‘STARK#MULE’라는 이름으로 이번 공격을 추적하고 있다. 

회사 연구원은 "소스와 가능성 있는 대상을 기준으로 볼 때 이러한 유형의 공격은 APT37과 같은 전형적인 북한 그룹에서 비롯된 과거의 공격과 유사하다."라고 말했다.

Nickel Foxcroft, Reaper, Ricoche Chollima, ScarCruft라는 이름으로도 알려진 APT37은 북한의 대한민국에 대한 목표, 특히 북한에 대한 보도와 탈북자 지원에 관련된 목표에만 집중하는 것으로 알려진 북한의 공격 위협집단이다.

이 그룹에 의해 장착된 공격 체인은 역사적으로 피해자를 피싱하고 RokRat과 같은 페이로드를 목표 네트워크로 전달하기 위해 사회 공학에 의존해 왔다. 즉, 적대적 집단은 최근 몇 달 동안 AblyGo라고 불리는 Go 기반 백도어를 포함한 다양한 멀웨어 제품군로 공격 무기를 확장했다.

이 새로운 캠페인의 주목할 만한 특징은 시스템에 설치된 보안 솔루션의 탐지를 피하기 위해 페이로드와 명령 및 제어(C2)를 준비하기 위해 손상된 한국 전자 상거래 웹 사이트를 사용한다는 것이다.

전신 역할을 하는 피싱 이메일은 미군 모집 메시지를 사용하여 수신자가 PDF 문서로 위장한 바로 가기 파일이 포함된 ZIP 아카이브 파일을 열도록 유도한다.

바로 가기 파일이 실행되면 미끼 PDF가 표시되지만 아카이브 파일에 있는 악성 "Thumbs.db" 파일의 실행을 은밀하게 활성화한다.

연구원들은 "이 파일은 더 많은 스테이지를 다운로드하고 지속성을 설정하기 위해 schtasks.exe를 활용하는 것을 포함한 몇 가지 기능을 수행한다."라고 설명했다.

다음 단계 모듈 중 두 개인 "lsasetup.tmp"와 "winrar.exe"는 "www.jkmusic.co [.kr]"이라는 손상된 전자 상거래 웹 사이트에서 검색되며, 후자는 "www.tipsell[.kr]"이라는 두 번째 전자 상거래 사이트에 도달하는 난독화된 이진인 "lsasetup.tmp"의 내용을 추출하고 실행하는 데 사용된다.

연구원들은 "일단 연결이 이루어지면, 공격자들은 시스템 MAC, 윈도우 버전, 그리고 IP 주소와 같은 시스템 세부 정보를 얻을 수 있었다. 두 웹사이트 모두 한국에 등록되어 있고 오직 HTTP 프로토콜만 사용한다.”라고 말했다.

안랩 안랩 시큐리티대응센터(ASEC)에 따르면 이번 공개는 APT37이 금융 기관 및 보험 회사의 보안 이메일을 사칭하는 피싱 이메일에서 CHM 파일을 사용하여 정보를 훔치는 멀웨어 및 기타 바이너리를 배포하는 것이 관찰되면서 공개되었다.

ASEC는 "특히 국내 특정 사용자를 대상으로 하는 악성코드는 사용자가 관심 있는 주제의 콘텐츠를 포함해 악성코드 실행을 유도할 수 있으므로 사용자는 출처를 알 수 없는 이메일을 여는 것을 자제하고 첨부파일을 실행하지 말아야 한다"고 당부했다. 

APT37은 최근 Alphapo 및 CoinsPaid에 대한 공격을 포함하여 금융 절도를 저지르고 정권의 정치 및 국가 안보 목표를 추구하기 위해 정보를 수집하도록 고안된 공격을 실행하여 주목을 받은 북한 정부의 지원을 받는 많은 그룹 중 하나이다.

여기에는 악명 높은 라자루스(Lazarus) 그룹과 그 하위 클러스터인 안다리엘(Andariel) 및 블루노로프(BlueNoroff)도 포함되며, 공격자들은 ScoutEngine이라는 새로운 백도어와 MATA(MATAv5)라는 완전히 개편된 버전의 맬웨어 프레임워크를 활용하여 2022년 9월에 동유럽의 방위 계약업체를 겨냥한 침입에 참여했다. 

카스퍼스키는 2023년 2분기 APT 동향 보고서에서 "처음부터 완전히 다시 작성된 이 정교한 악성코드는 로드 가능하고 내장된 모듈과 플러그인을 사용하는 고급의 복잡한 아키텍처를 보여준다. 이 악성 프로그램은 내부적으로 IPC(Inter-Process Communication) 채널을 활용하고 다양한 명령을 사용하여 피해자 환경을 포함한 다양한 프로토콜에 걸쳐 프록시 체인을 구축할 수 있다."라고 설명했다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★