북한 정부 지원 해커 그룹, 가짜 보안 회사 설립해

 

 

North Korean-Backed Group Sets Up Fake Security Company, Google Says

 

구글의 보고에 따르면, 북한 정부의 지원을 받는 공격자들이 보안 회사의 직원을 해킹하기 위한 캠페인을 통해 SNS에서 보안 연구원으로 가장한 것으로 나타났습니다.

 

보안 연구원들을 노린 공격자의 능력과 의지는 이 캠페인이 얼마나 심각한지 보여줍니다. 이는 사이버 보안 세계에서는 흔한 일이 아니기 때문에 더욱 흥미로운 일입니다.

 

몇 달 전, 구글은 취약점을 연구하는 보안 연구원들을 노린 한 캠페인을 발견했으며 북한 정부 지원 해커 그룹의 소행이라 밝혔습니다.

 

공격자들은 작업을 확대하기 위해 블로그, 가짜 연락처, 트위터 프로필을 만들고 영상을 업로드하고 소셜 미디어를 이용했습니다.

 

그 후 해당 그룹은 얼마 전 다시 활동을 시작하며, 이번에는 터키에 위치한 가짜 회사인 SecuriElite를 설립했습니다.

 

이들의 작업 방식은 유사하며, 공격자는 동일한 타깃을 노립니다.

 

Threat Analysis Group의 Adam Weidemann은 아래와 같이 밝혔습니다.

 

“이들이 만든 새로운 웹사이트는 터키에 위치한 공격적인 보안 회사로 침투 테스트, 소프트웨어 보안 평가 및 익스플로잇을 제공한다고 소개하고 있습니다.”

 

“이 공격자가 설정한 이전 웹사이트와 마찬가지로, 해당 웹사이트에도 페이지 하단에 PGP 공개 키로 이어지는 링크가 있습니다. 지난 1월, 타깃이 된 공격자들은 해당 PGP 키가 공격자의 블로그에서 호스팅되었으며 브라우저 익스플로잇이 촉발되기를 기다리는 웹사이트를 방문하도록 유인하는 역할을 했다고 밝혔습니다.”

 

이 그룹은 가짜 LinkedIn 프로필 몇 개를 설정하고, 합법적인 회사를 세우려 시도했습니다. 이들은 아직까지 악성 콘텐츠를 배포하지는 않았지만, 구글은 LinkedIn 측에 이 가짜 프로필을 알렸습니다.

 

이전 캠페인에서 공격자들이 사용한 주요 공격 벡터는 인터넷 익스플로러 제로데이였습니다. 그리고 현재는 이들이 사용할 수 있는 다른 제로데이 익스플로잇을 가지고 있을 것으로 추정할 수 있습니다.

 

구글은 이들이 사용하는 사이트 및 계정 전체 목록을 공개했습니다.

 

 

 

 

출처:

https://hotforsecurity.bitdefender.com/blog/north-korean-backed-group-sets-up-fake-security-company-google-says-25605.html

https://blog.google/threat-analysis-group/update-campaign-targeting-security-researchers