통일부 기자단 해킹 시도 ---2년 넘게 공격하다.
페이지 정보
작성자 게시판관리자 작성일19-02-02 10:42 조회9,092회 댓글0건관련링크
본문
통일부 기자단 해킹 시도 '빙산의 일각'…2년 넘게 국내 공격
"악성코드 유포·이메일 계정 탈취 동시…암호화폐거래소까지 노려"
입력 2019.01.31 14:51
2019년1월 초에 통일부 출입기자 77명을 대상으로 악성코드를 유포한 해커 조직이 2년 이상 국내 정부기관 등을 노리고 해킹 공격을 수행해왔다는, 31일 국내 보안업체 NSHC가 공개한 위협 인텔리전스 보고서에 따르면 이 조직은 국내 도메인을 가진 특정 서버를 무려 27개월 이상 명령제어(C2) 서버로 해킹 공격에 사용해 활동한 것으로 확인됐다. 서버 인터넷주소(IP)는 일본으로 파악됐다.
이 해커 조직은 '섹터A05' 해커 그룹의 하위 조직으로 추정된다. NSHC는 북한 정부의 지원을 받는 조직을 '섹터A'로 분류하고 있다.
이번 특징은, 통일부 출입기자를 대상으로 유포된 악성코드는 압축 파일 형태의 실행 파일을 한글(hwp) 파일로 위장한 것이다. 파일 내부에는 공격 대상을 속이기 위한 정상 한글 파일과 악의적 목적으로 제작한 스크립트가 포함됐다.
과거와 달라진 것이 주로 이메일에 한글 파일을 첨부한 뒤 문서를 열어볼 때 한글 파일 취약점을 악용해 악성코드 감염을 시도하던 것이 달라진 부분이다. 해당 악성코드는 원격제어 악성코드로 감염될 경우 추가로 악성코드를 내려받거나 브라우저 히스토리 정보 등을 유출한다.
또한 악성코드를 안전하게 공급하는 용도로 구글 드라이브를 쓴 점도 눈길을 끈다. 공격 대상 PC에서 탈취한 다양한 정보를 여기에 보관하기도 했다.
장영준 NSHC 스렛리콘(ThreatRecon)팀 수석연구원은 "스크립트 형태의 악성코드를 사용한 건 공격 대상이 사용하는 보안 제품의 탐지를 피하기 위한 기술적 전략으로 볼 수 있다"며 "가령 백신(anti virus)은 기술적 특성상 실행 파일 위주로 탐지한다"고 말했다.
특히 이메일을 통한 악성코드 유포 공격과 이메일 계정 정보를 탈취하기 위한 피싱 공격을 함께 수행한다는 점도 드러났다. 네이버 메일, 구글 지메일 사용자 등의 패스워드를 획득하고자 했다.
중앙 정부를 비롯해 대상으로 해킹을 일삼던 이 조직은 최근 암호화폐 거래소·사용자로 공격 범위를 넓혔다. 정부 기밀정보 탈취뿐만 아니라 암호화폐를 통한 금전적 이득을 취하기 위한 것으로 분석된다.
댓글목록
등록된 댓글이 없습니다.