CISA, 북한 악성코드의 새로운 변종인 BLINDINGCAN에 대해 경고

CISA warns of BLINDINGCAN, a new strain of North Korean malware

 

미 사이버 보안 및 인프라 안보국(CISA)이 북한 정부 해커가 올해 배포한 새로운 악성코드 변종에 대한 보안 경고를 발행했습니다.

 

McAfee(Operation North Star)와 ClearSky(Operation DreamJob)의 보고서에 따르면, 이 새로운 악성코드는 미국과 국외 군사 방위, 항공 우주 분야를 공격했습니다.

 

공격은 북한 해커들이 원하는 회사의 직원들에 접근할 목적으로 흔히 사용되는 대기업의 인사 담당자로 위장하는 방식을 사용했습니다.

 

타깃 직원은 인터뷰를 요청받았으며, 그 과정에서 피해자의 컴퓨터에 악성코드를 배포하는 악성 오피스 또는 PDF 문서를 받게 됩니다.

 

이 공격의 최종 페이로드는 원격 액세스 트로이목마(RAT)인 BLINDINGCAN입니다. (ClearSky의 보고서에서는 DRATzarus라 언급됨)

 

CISA는 북한 해커가 이 악성코드를 통해 피해자의 시스템에 접근 권한을 얻고 정찰한 다음 “핵심 군사 및 에너지 기술 관련 정보를 수집”했다고 밝혔습니다.

 

BLINDINGCAN은 폭넓은 기술로 아래와 같은 작업이 가능했습니다.

- 디스크 형태, 남은 공간 등 설치된 모든 디스크의 정보 받아오기

- OS 버전 정보 받아오기

- 프로세서 정보 받아오기

- 시스템 이름 받아오기

- 로컬 IP 주소 정보 받아오기

- MAC 주소 받아오기

- 새로운 프로세스와 기본 스레드 생성, 시작, 종료

- 파일 검색, 읽기, 쓰기, 이동, 실행

- 파일 또는 디렉토리타임 스탬프 받아오기

- 프로세스 또는 파일의 현재 디렉토리 변경

- 감염된 시스템에서 악성코드와 관련된 아티팩트 제거

 

CISA는 시스템 관리자와 보안 전문가들이 네트워크 해킹 징후를 찾기 위한 규칙을 설정할 수 있는 침해 지표(IoC)를 공개했습니다.

 

이는 미국 정부가 북한의 악성 행위에 대해 발행한 35번째 보안 경고입니다. CISA는 2017년 5월 12일부터 웹 사이트에 북한의 악성 코드 31개에 대한 보고서를 발행했습니다.

 

북한 정부 해커 그룹은 중국, 이란, 러시아 그룹과 함께 최근 몇 년간 미국을 가장 활발히 노린 정부 해커 그룹 4곳 중 하나입니다.

 

 

 

 

출처:

https://www.zdnet.com/article/cisa-warns-of-blindingcan-a-new-strain-of-north-korean-malware/

https://us-cert.cisa.gov/ncas/analysis-reports/ar20-232a