포스팅 내용

국내외 보안동향

북한의 공격그룹 ‘HIDDEN COBRA’, 일본에서 활동한 흔적 발견

北朝鮮の攻撃グループ「HIDDEN COBRA」、国内で活動した形跡


북한의 해킹그룹인 ‘HIDDEN COBRA’에 의한 APT공격이 일본을 대상으로 전개되고 있을 가능성도 있다는 사실이 밝혀졌습니다. 


HIDDEN COBRA 조직이란?


포티넷 자료에 따르면, 포티넷에서 ‘FALLCHILL’을 관측한 것이 유일하게 일본이었다고 밝혔습니다. 포티넷 재팬이 이 그룹이 이용하는 악성코드에 의한 통신을 관측한 것입니다. 


이번에 관측된 것은, 이 그룹이 적어도 2016년경부터 사용하고 있는 것으로 보이는 원격접속툴  ‘FALLCHILL’ 통신입니다. 해당 악성코드는 미국토안전보장성(DHS)과 연방수사국(FBI)이 공동조사를 통하여 백도어인  ‘Volgmer’와 함께 올해 11월 중순에 상세정보가 공개된 악성코드 이기도 합니다. 


미국 정부의 정보 공개 이후, 일본 내에서 눈에 띄는 공격이 확인되지는 않았지만 일본에서도 공격이 관측되었다는 사실 만으로도 주의가 필요합니다. 


FortiGuard Labs의 데라시타 켄이치(寺下 健一) 연구원은 미 정부가 공개한 정보를 바탕으로 악성코드의 활동상황에 대해서 조사를 실시한 결과, 일본국내에서 ‘FALLCHILL’의 활동을 확인했다고 밝혔습니다. 


데라시타 켄이치 씨에 따르면 ‘FALLCHILL’는 유일하게 일본에서 활동이 확인되어 포티넷에서 11월19일부터 다음 날 20일에 걸쳐서 15건 탐지되었다고 합니다. 또한 백도어인 ‘Volgmer’에 대해서도 DHS조사를 진행하였지만, 일본에서의 활동은 탐지되지 않았다고 밝혔습니다. 


이번에 관측된 ‘FALLCHILL’은 적어도 2016년부터 이용되고 있다는 사실이 판명되어 이중화된 프록시를 이용하여 TLS로 보이게 한 암호화통신을 실시하는 것이 특징입니다. 


‘FALLCHILL’의 감염원인은 ‘HIDDEN COBRA’가 이용하는 다른 악성코드와 웹사이트 등으로 보인다. DHS의 조사에서는 항공우주, 통신, 금융분야 등이 주된 공격대상이 되고 있었다라고 밝혔습니다. 

.

미 정부에서는 조직 내에서 ‘Volgmer’, ‘FALLCHILL’ 등에 감염되지 않았는지 체크할 수 있도록 ‘STIX’나 ‘CSV파일’로 위협정보를 제공하며, 악성코드의 분석결과에 대해서도 PDF로 공개하고 있어 조사 등에 참고할 수 있습니다. 




출처 :

http://www.security-next.com/088644



티스토리 방명록 작성
name password homepage