기술 지원
문서
로그인
문의하기
스피어 피싱 공격으로 보안 연구원을 노리는 공격자
2023년 3월 21일 TuxCare 홍보팀
사이버 보안 업체 맨디언트(Mandiant)에 따르면 UNC2970으로 알려진 북한 스파이 그룹이 2022년 6월부터 미국과 유럽의 미디어 및 기술 조직을 대상으로 이전에 알려지지 않은 새로운 멀웨어군을 사용하여 스피어 피싱 공격을 수행하고 있습니다.
Mandiant 보고서에 따르면 보안 연구원이 공격의 주요 표적이었으며, LinkedIn을 사용하여 채용 담당자를 사칭하고 잠재적 피해자와의 초기 커뮤니케이션을 용이하게 한 다음 WhatsApp을 통해 전송된 직무 설명을 통해 피싱 페이로드를 전달했다고 합니다. UNC2970은 UNC577(임시 은둔자)에 매핑되는 일련의 북한 사이버 활동에 대한 위협 인텔리전스 회사의 지정이며, UNC4034로 추적된 또 다른 초기 위협 클러스터를 포함합니다.
이 공격은 보안 연구원을 겨냥한 것으로, 이 그룹은 LinkedIn에서 채용 담당자를 사칭하여 잠재적인 피해자와 접촉을 시작합니다. 그런 다음 UNC2970은 WhatsApp을 사용하여 가짜 직무 설명으로 위장한 피싱 페이로드를 전달하며, 여기에는 Plankwalk라는 백도어 또는 다른 계열의 멀웨어가 포함되어 있습니다.
UNC2970은 전통적으로 채용을 테마로 한 스피어피싱 이메일을 통해 조직을 공격해 왔습니다. 최근 이 그룹은 채용 담당자가 소유한 가짜 LinkedIn 계정을 사용하기 시작했습니다. 이 계정은 표적을 속이고 성공 가능성을 높이기 위해 합법적인 사람처럼 보이도록 세심하게 제작되었습니다. 결국, 위협 행위자는 대화를 WhatsApp으로 전환하고, 거기에서 WhatsApp 또는 이메일을 사용하여 맨디언트가 Plankwalk라고 부르는 백도어 또는 기타 멀웨어 제품군을 전달하려고 시도합니다.
피싱 작전을 수행할 때 UNC2970은 처음에 LinkedIn을 통해 채용 담당자로서 표적과 소통했습니다. 표적과 접촉한 후 UNC2970은 WhatsApp으로 대화를 전환한 후, 직무 설명으로 위장한 피싱 페이로드를 전송하기 전에 표적과 계속 상호작용을 시도했습니다. UNC2970은 피싱 페이로드가 실행되고 탐지된 후에도 피해자와 계속 상호작용하며 적어도 한 건 이상에서 탐지 스크린샷을 요청했습니다.
UNC2970의 주요 피싱 페이로드는 원격 템플릿 주입을 수행하는 매크로가 포함된 Microsoft Word 문서로, 원격 명령 및 제어 서버(C2)에서 페이로드를 내려받아 실행합니다. 맨디언트에 따르면 UNC2970은 특정 표적에 맞게 가짜 직무 설명을 조정하는 것이 관찰되었습니다.
그런 다음 대화가 WhatsApp으로 전송되어 피싱 페이로드가 작업 설명의 형태로 표적에게 전달됩니다. 이러한 공격 체인은 원격 서버에서 셸 코드를 다운로드하고 실행할 수 있는 다음 단계 페이로드인 LIDSHOT을 로드하도록 설계된 트로이 목마 버전의 TightVNC(리드시프트라고 함)를 배포하는 것으로 관찰된 경우도 있습니다.
피해자가 입사 지원 기술 평가 시험으로 오인한 UNC2970이 전달한 ZIP 파일에 포함된 내용입니다. 실제로 이 ZIP 파일에는 맨디언트가 LIDSHIFT로 식별한 트로이 목마 버전의 TightVNC가 포함된 ISO 파일이 들어 있었습니다. 피해자는 다른 파일과 함께 피해자가 평가를 받으려는 회사의 이름이 표시된 TightVNC 애플리케이션을 실행하라는 지시를 받았습니다.
그런 다음 공격은 Plankwalk 백도어를 설치하고, 이 백도어는 Microsoft 엔드포인트 애플리케이션 InTune을 비롯한 다양한 다른 도구를 설치할 수 있습니다. 조직의 Azure Active Directory 서비스에 등록된 엔드포인트는 InTune을 사용하여 구성할 수 있습니다. UNC2970은 엔드포인트 보안을 우회하기 위해 합법적인 애플리케이션을 사용하는 것으로 보입니다.
이 글의 출처는 ArsTechnica의 기사입니다.
