북 연계 해킹 조직, 대북 관련 종사자 대상 피싱 공격 진행중!

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
대북 관련 종사자 대상으로 진행된 피싱 공격이 발견돼 사용자들의 각별한 주의가 필요합니다.

이번 공격은 '[kakao]해외지역에서 로그인 되었습니다'라는 제목으로 카카오팀이 발송한 이메일 처럼 위장하여 발송되었습니다. 

 

 

본문에는 귀하의 계정이 해외지역에서 로그인 되었습니다 라는 내용과 함께 [해외지역 로그인 차단하러 가기] 버튼이 포함되어 있습니다. 

해당 버튼에는 링크가 포함되어 있으며, 링크 클릭 시 공격자가 제작해 놓은 피싱 페이지로 이동합니다.  

 

 

[그림 1] 로그인 페이지를 위장하고 있는 피싱 페이지

 

 

피싱 페이지의 경우 매우 정교하게 제작되어 있으며, 로그인 영역 뿐만 아니라 QR코드 로그인, 개인정보처리방침과 같은 다른 메뉴들도 제작해 실제 페이지 처럼 보이도록 위장하고 있습니다. 

 

 

 

[그림 2] 피싱 페이지 추가 메뉴 화면

 

 

QR 페이지의 경우 분석 시점 동작하지 않았습니다. 계정정보 페이지에 계정정보를 입력하면 입력한 계정정보는 base64로 인코딩 되어 공격자 서버로 전송됩니다. 

 

특히 이번 공격에 사용된 IP는 얼마 전 ESRC에서 공개한 '연말 외교·안보 종사자 대상 자료요청, 알고 보니 北 연루 해킹 위협' 공격에서도 활용된 적 있습니다. 

 

ESRC는 여러 지표들을 분석한 결과, 이번 공격은 북한이 배후에 있는 APT 조직의 '스모크 스크린(Smoke Screen') 공격 활동의 연장선으로 결론지었습니다. 

 

북한 배후로 지목된 해킹 공격이 지속되고 있는 만큼, 관련자 여러분들의 각별한 주의가 요구됩니다. 

 

 

IoC

hxxps://accountsosi[.]kakaocop.eu/