시스코 탈로스와 구글에 따르면, 북한 그룹인 유명 촐리마와 UNC5342는 새로운 변종 분산형 멀웨어(예: 이더히딩, 비버테일/오터쿠키 쌍)를 사용하고 있습니다.
시스코 탈로스와 구글 위협 인텔리전스 그룹의 새로운 연구 결과에 따르면 북한과 연계된 위협 행위자들이 탈중앙화 및 회피형 멀웨어 도구를 사용하여 사이버 작전을 강화하고 있습니다.
이 캠페인은 정교한 채용 사기를 통해 암호화폐를 훔치고 네트워크에 침투하며 보안 통제를 회피하는 것을 목표로 합니다.
회피를 위한 멀웨어 기술의 진화
시스코 Talos 연구원들은 북한 그룹 Famous Chollima의 지속적인 캠페인을 확인했으며, 두 가지 보완적인 멀웨어 변종을 사용했습니다: 비버테일과 오터쿠키는 전통적으로 자격 증명 도용과 데이터 유출에 사용되던 이 프로그램들이 새로운 기능과 긴밀한 상호작용을 통합하도록 진화했습니다.
최근 스리랑카의 한 조직과 관련된 사건에서 공격자들은 구직자를 속여 기술 평가로 위장한 악성 코드를 설치하도록 했습니다.
이 조직 자체가 직접적인 표적은 아니었지만 시스코 탈로스 분석가들은 오터쿠키에 연결된 키로깅 및 스크린샷 캡처 모듈을 관찰했습니다. 이 모듈은 키 입력을 은밀하게 기록하고 데스크톱 이미지를 캡처하여 원격 명령 서버로 자동 전송했습니다.
이 관찰은 북한과 연계된 위협 그룹이 지속적으로 진화하고 있으며 의심하지 않는 표적을 손상시키기 위해 사회 공학 기술에 집중하고 있다는 점을 강조합니다.
블록체인-사용-명령-인프라
구글 위협 인텔리전스 그룹(GTIG)은 북한과 연계된 UNC5342의 작전을 확인했습니다. 이 그룹은 EtherHiding이라는 새로운 멀웨어를 사용했습니다.
이 도구는 퍼블릭 블록체인에 악성 JavaScript 페이로드를 숨겨 분산된 명령 및 제어(C2) 네트워크로 변환합니다.
공격자는 블록체인를 사용하여 기존 서버에 의지하지 않고 멀웨어의 동작을 원격으로 수정할 수 있습니다. 그 결과 법 집행이 훨씬 더 어려워집니다.
또한 GTIG는 UNC5342가 이전에 팔로알토 네트웍스가 확인한 '전염성 인터뷰'라는 사회 공학 캠페인에 이더숨기를 적용하여 북한과 연계된 위협 행위자들의 지속성을 입증했다고 보고했습니다.
Target: 암호화폐 분야 전문가
구글 연구자들에 따르면, 이러한 사이버 작전은 일반적으로 암호화폐 및 사이버 보안 분야의 전문가를 대상으로 하는 사기성 구인 광고로 시작됩니다.
피해자는 가짜 평가에 참여하도록 초대받고, 이 과정에서 악성 코드가 포함된 파일을 다운로드하도록 요청받습니다.
감염 과정에는 종종 JadeSnow, BeaverTail, InvisibleFerret 등 여러 멀웨어 패밀리가 관여합니다. 공격자들은 이러한 툴을 함께 사용하여 시스템에 액세스하고 자격 증명을 탈취하며 랜섬웨어를 효율적으로 배포할 수 있습니다. 이들의 궁극적인 목표는 스파이 활동과 금융 절도에서 장기적인 네트워크 침투에 이르기까지 다양합니다.
시스코와 Google은 조직이 북한과 관련된 지속적인 사이버 위협을 탐지하고 대응하는 데 도움이 되는 침해 지표(IOC)를 발표했습니다. 연구원들은 블록체인과 모듈형 멀웨어의 통합으로 인해 글로벌 사이버 보안 방어 노력이 계속 복잡해질 것이라고 경고합니다.
시스코 탈로스와 구글 위협 인텔리전스 그룹의 새로운 연구 결과에 따르면 북한과 연계된 위협 행위자들이 탈중앙화 및 회피형 멀웨어 도구를 사용하여 사이버 작전을 강화하고 있습니다.
이 캠페인은 정교한 채용 사기를 통해 암호화폐를 훔치고 네트워크에 침투하며 보안 통제를 회피하는 것을 목표로 합니다.
회피를 위한 멀웨어 기술의 진화
시스코 Talos 연구원들은 북한 그룹 Famous Chollima의 지속적인 캠페인을 확인했으며, 두 가지 보완적인 멀웨어 변종을 사용했습니다: 비버테일과 오터쿠키는 전통적으로 자격 증명 도용과 데이터 유출에 사용되던 이 프로그램들이 새로운 기능과 긴밀한 상호작용을 통합하도록 진화했습니다.
최근 스리랑카의 한 조직과 관련된 사건에서 공격자들은 구직자를 속여 기술 평가로 위장한 악성 코드를 설치하도록 했습니다.
이 조직 자체가 직접적인 표적은 아니었지만 시스코 탈로스 분석가들은 오터쿠키에 연결된 키로깅 및 스크린샷 캡처 모듈을 관찰했습니다. 이 모듈은 키 입력을 은밀하게 기록하고 데스크톱 이미지를 캡처하여 원격 명령 서버로 자동 전송했습니다.
이 관찰은 북한과 연계된 위협 그룹이 지속적으로 진화하고 있으며 의심하지 않는 표적을 손상시키기 위해 사회 공학 기술에 집중하고 있다는 점을 강조합니다.
블록체인-사용-명령-인프라
구글 위협 인텔리전스 그룹(GTIG)은 북한과 연계된 UNC5342의 작전을 확인했습니다. 이 그룹은 EtherHiding이라는 새로운 멀웨어를 사용했습니다.
이 도구는 퍼블릭 블록체인에 악성 JavaScript 페이로드를 숨겨 분산된 명령 및 제어(C2) 네트워크로 변환합니다.
공격자는 블록체인를 사용하여 기존 서버에 의지하지 않고 멀웨어의 동작을 원격으로 수정할 수 있습니다. 그 결과 법 집행이 훨씬 더 어려워집니다.
또한 GTIG는 UNC5342가 이전에 팔로알토 네트웍스가 확인한 '전염성 인터뷰'라는 사회 공학 캠페인에 이더숨기를 적용하여 북한과 연계된 위협 행위자들의 지속성을 입증했다고 보고했습니다.
Target: 암호화폐 분야 전문가
구글 연구자들에 따르면, 이러한 사이버 작전은 일반적으로 암호화폐 및 사이버 보안 분야의 전문가를 대상으로 하는 사기성 구인 광고로 시작됩니다.
피해자는 가짜 평가에 참여하도록 초대받고, 이 과정에서 악성 코드가 포함된 파일을 다운로드하도록 요청받습니다.
감염 과정에는 종종 JadeSnow, BeaverTail, InvisibleFerret 등 여러 멀웨어 패밀리가 관여합니다. 공격자들은 이러한 툴을 함께 사용하여 시스템에 액세스하고 자격 증명을 탈취하며 랜섬웨어를 효율적으로 배포할 수 있습니다. 이들의 궁극적인 목표는 스파이 활동과 금융 절도에서 장기적인 네트워크 침투에 이르기까지 다양합니다.
시스코와 Google은 조직이 북한과 관련된 지속적인 사이버 위협을 탐지하고 대응하는 데 도움이 되는 침해 지표(IOC)를 발표했습니다. 연구원들은 블록체인과 모듈형 멀웨어의 통합으로 인해 글로벌 사이버 보안 방어 노력이 계속 복잡해질 것이라고 경고합니다.
다음 읽기
얀 파이낸스 익스플로잇: 280만 yETH 공격
'무한 채굴' 공격이 Yearn Finance의 yETH를 강타하여 밸런서 풀에서 280만 개가 유출되고 YFI 토큰에 비정상적인 시장 반응을 일으켰습니다.
3,200만 업비트 해킹: 토큰 솔라나가 한국 시장에서 스타가 되다!
업비트는 해커의 공격으로 3,200만 개의 솔라나 토큰을 횡령한 후 입출금을 중단하여 한국 시장에서 큰 프리미엄을 발생시켰습니다.
영국 암호화폐 강도 사건: 유죄 판결 및 자기 관리 위험
영국에서 430만 개가 넘는 암호화폐가 도난당한 사건은 자기 보관의 보안과 인적 요소의 위험성에 대한 의문을 제기합니다.
암호화폐 충돌: 중국, 루비안의 127,000 BTC 비트코인 익스플로잇에 대해 미국을 비난하다
중국은 미국이 2020년에 루비안에서 127,000 BTC를 '유출'했다고 비난합니다. 연구원들은 이 익스플로잇을 키 생성의 결함과 연관시킵니다.