사이버 공격자들은 북한 내 전문가들을 표적으로 삼습니다.
센티넬랩스에 따르면 북한 APT 조직인 킴스키는 북한 문제 전문가를 대상으로 사회공학적 공격을 수행하고 있다고 합니다.
공격은 가짜 북한 뉴스 계정에서 보낸 이메일에서 시작되었습니다. 이 이메일은 수신자에게 북한의 핵 위험에 관한 초안을 검토해 달라고 요청합니다. 수신자가 이메일에 포함된 링크를 클릭하면 로그인 정보를 요청하는 가짜 Google 문서 도구 페이지로 이동합니다. 로그인 정보를 입력하면 킴스무키에게 전송됩니다. 그러면 킴스무키는 뉴스 서비스의 중요한 구글 및 구독자 자격 증명을 훔칩니다.
그러면 킴수키는 이 인증 정보를 사용하여 피해자의 이메일, 소셜 미디어 및 기타 인터넷 계정에 액세스할 수 있습니다. 또한 피싱 캠페인이나 랜섬웨어 공격과 같은 다른 공격에도 인증 정보를 사용할 수 있습니다. 킴수키의 주요 마케팅 접근 방식은 NK News의 설립자이자 관련 지주회사인 코리아 리스크 그룹의 설립자인 채드 오캐롤(Chad O'Carroll)을 모방했습니다. 이들은 공격자가 제어하는 도메인인 nknews[.]pro를 설정했는데, 이 도메인은 NK News의 공식 도메인인 nknews.org와 매우 유사합니다.
연구진에 따르면 킴수키는 HTML 형식의 스피어 피싱 이메일을 사용하여 피해자와 소통을 시작합니다. NK News 경영진을 사칭하는 이 이메일에는 유해한 요소가 포함되어 있지 않으며 의심을 불러일으키지 않고 추가 참여를 유도하기 위한 것입니다.
표적이 대화에 참여하면 APT 그룹은 Google 문서 링크가 포함된 이메일을 보냅니다. 수신자가 응답하지 않으면 위협 행위자는 응답을 강제하기 위해 알림 이메일을 보냅니다. 공격자는 자신이 제어하는 웹사이트로 이동하도록 href HTML 요소를 변경하여 URL을 변경합니다.
이 글의 출처는 SecurityAffairs의 기사입니다.