ClickCease 북한 내 전문가를 노리는 사이버 공격자

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

사이버 공격자들은 북한 내 전문가들을 표적으로 삼습니다.

2023년 6월 20일 TuxCare 홍보팀

센티넬랩스에 따르면 북한 APT 조직인 킴스키는 북한 문제 전문가를 대상으로 사회공학적 공격을 수행하고 있다고 합니다.

공격은 가짜 북한 뉴스 계정에서 보낸 이메일에서 시작되었습니다. 이 이메일은 수신자에게 북한의 핵 위험에 관한 초안을 검토해 달라고 요청합니다. 수신자가 이메일에 포함된 링크를 클릭하면 로그인 정보를 요청하는 가짜 Google 문서 도구 페이지로 이동합니다. 로그인 정보를 입력하면 킴스무키에게 전송됩니다. 그러면 킴스무키는 뉴스 서비스의 중요한 구글 및 구독자 자격 증명을 훔칩니다.

그러면 킴수키는 이 인증 정보를 사용하여 피해자의 이메일, 소셜 미디어 및 기타 인터넷 계정에 액세스할 수 있습니다. 또한 피싱 캠페인이나 랜섬웨어 공격과 같은 다른 공격에도 인증 정보를 사용할 수 있습니다. 킴수키의 주요 마케팅 접근 방식은 NK News의 설립자이자 관련 지주회사인 코리아 리스크 그룹의 설립자인 채드 오캐롤(Chad O'Carroll)을 모방했습니다. 이들은 공격자가 제어하는 도메인인 nknews[.]pro를 설정했는데, 이 도메인은 NK News의 공식 도메인인 nknews.org와 매우 유사합니다.

연구진에 따르면 킴수키는 HTML 형식의 스피어 피싱 이메일을 사용하여 피해자와 소통을 시작합니다. NK News 경영진을 사칭하는 이 이메일에는 유해한 요소가 포함되어 있지 않으며 의심을 불러일으키지 않고 추가 참여를 유도하기 위한 것입니다.

표적이 대화에 참여하면 APT 그룹은 Google 문서 링크가 포함된 이메일을 보냅니다. 수신자가 응답하지 않으면 위협 행위자는 응답을 강제하기 위해 알림 이메일을 보냅니다. 공격자는 자신이 제어하는 웹사이트로 이동하도록 href HTML 요소를 변경하여 URL을 변경합니다.

이 글의 출처는 SecurityAffairs의 기사입니다.

요약
사이버 공격자들은 북한 내 전문가들을 표적으로 삼습니다.
기사 이름
사이버 공격자들은 북한 내 전문가들을 표적으로 삼습니다.
설명
북한 APT 조직인 킴스키는 북한 문제 전문가를 대상으로 사회공학적 공격을 수행하고 있습니다.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기