포스팅 내용

국내외 보안동향

일본 등 14개국 대학을 노리는 대규모 공격 발견!

日本など14カ国の大学を狙う大規模攻撃 - 論文DB装うフィッシングで知的財産を標的に


이란이 관련된 것으로 보이는 공격그룹 ‘COBALT DICKENS’이 일본을 비롯하여 여러 국가의 교육기관에 대해서 피싱공격을 전개하고 있다는 사실이 밝혀졌습니다.


최근 보안기업인 Secureworks가 대학의 로그인 페이지를 위장하고 있는 피싱사이트를 확인했으며, 공격에 사용된 IP주소에 대해 조사한 결과 인증정보 탈취를 목적으로 하는 대규모 공격 캠페인이었다고 밝혔습니다. 


해당 악성 IP 주소에서 총 16건의 도메인을 악용하며, 이 도메인들은 일본을 비롯한 미국, 캐나다, 영국, 스위스, 터키, 이스라엘, 오스트레일리아, 중국 등 적어도 14개국의 76개 대학, 300개 이상의 사이트를 위장하고 있습니다. 


이 피싱 사이트들은 사용자의 계정정보를 타겟으로 하고 있으며, 사용자가 피싱사이트라는 것을 인지하지 못하도록 정보탈취 후에는 실제 정상 페이지로 사용자들을 이동시킵니다. 


이 중 일부는 논문검색시스템 등을 위장하고 있으며, 탈취한 개인정보 등을 이용하여 지적 재산 등에 접속하고 있었던 것으로 추정됩니다. 


피싱 사이트에 대한 유포경로는 아직 밝혀지지 않았지만, 과거의 공격 행적 등으로 보았을 때 대학의 라이브러리 시스템 등을 가장한 피싱 메일을 통해 유포되었을 것으로 추정됩니다. 


공격자는 2018년 5월부터 8월에 걸쳐서 도메인을 등록했으며, 2018년 5월에 등록한 도메인에는 타깃으로 한 대학의 서브메인의 문자열 등이 포함되어 있었습니다. 


이번 공격에 대해서 Secureworks는 이용하는 인프라나 지적재산의 탈취를 노리는 수법 등, 공격그룹 ‘COBALT DICKENS’이 과거에 전개한 공격방식과 유사하다고 밝혔습니다. 


이 그룹은 이란 정부와 관계가 있는 것으로 추정되고 있으며, 2018년 3월에는 미 사업부가 관련자로 보이는 이란인 9명을 고발하기도 하였습니다. 하지만 이후에도 공격은 지속되고 있습니다. 



출처 :

http://www.security-next.com/099256



티스토리 방명록 작성
name password homepage