北 해킹 조직의 언론사 위장 스피어 피싱 공격 주의!
Contents
국내 유명 언론사의 직원으로 위장하여 비영리 민간 정책 연구소 소속의 특정인을 타깃으로 한 스피어 피싱 공격이 발견되어 주의가 필요합니다.
이번 공격은 국내 언론사로부터 칼럼 작성 요청을 받은 피해자가 원고를 제출한 후, 언론사 담당자를 사칭한 회신 메일에 악성코드가 첨부되어 전달되는 방식으로 이루어졌습니다.
공격자는 정상적인 업무 메일 흐름을 악용해 피해자의 신뢰를 얻고, 악성 파일을 실행하도록 유도한 것으로 분석됩니다.
이메일 본문에는 대용량 첨부파일 형태의 다운로드 링크가 포함되어 있으며, 피해자가 이를 클릭할 경우 ZIP 포맷의 압축 파일이 다운로드 됩니다.
공격자는 탐지 회피를 위해 국내 포털사이트 메일 서비스에서 제공하는 대용량 첨부파일 링크를 활용하였고, 압축 파일에 암호를 설정하여 첨부한 것으로 확인됩니다.
다운로드 된 압축파일에는 Chrome 브라우저 아이콘으로 위장한 LNK 파일이 존재합니다.
피해자가 해당 LNK 파일을 정상파일로 오인하여 실행할 경우, 내부의 존재하는 파워쉘 코드가 동작되며, Base64로 인코딩된 데이터를 %TEMP% 폴더에 7hweuyd.ps1 파일명으로 저장 후 실행합니다.
실행된 7hweuyd.ps1 파일은 공격자 서버(C2)에서 PDF 파일을 다운 받아 %TEMP% 폴더에 LNK 파일과 동일한 파일명으로 저장하여 실행합니다.
다운로드 된 PDF 파일은 사용자의 의심을 피하기 위한 미끼 파일로 사용되었습니다.
이와 동시에 백그라운드에서는 …
이번 공격은 국내 언론사로부터 칼럼 작성 요청을 받은 피해자가 원고를 제출한 후, 언론사 담당자를 사칭한 회신 메일에 악성코드가 첨부되어 전달되는 방식으로 이루어졌습니다.
공격자는 정상적인 업무 메일 흐름을 악용해 피해자의 신뢰를 얻고, 악성 파일을 실행하도록 유도한 것으로 분석됩니다.
이메일 본문에는 대용량 첨부파일 형태의 다운로드 링크가 포함되어 있으며, 피해자가 이를 클릭할 경우 ZIP 포맷의 압축 파일이 다운로드 됩니다.
공격자는 탐지 회피를 위해 국내 포털사이트 메일 서비스에서 제공하는 대용량 첨부파일 링크를 활용하였고, 압축 파일에 암호를 설정하여 첨부한 것으로 확인됩니다.
다운로드 된 압축파일에는 Chrome 브라우저 아이콘으로 위장한 LNK 파일이 존재합니다.
피해자가 해당 LNK 파일을 정상파일로 오인하여 실행할 경우, 내부의 존재하는 파워쉘 코드가 동작되며, Base64로 인코딩된 데이터를 %TEMP% 폴더에 7hweuyd.ps1 파일명으로 저장 후 실행합니다.
실행된 7hweuyd.ps1 파일은 공격자 서버(C2)에서 PDF 파일을 다운 받아 %TEMP% 폴더에 LNK 파일과 동일한 파일명으로 저장하여 실행합니다.
다운로드 된 PDF 파일은 사용자의 의심을 피하기 위한 미끼 파일로 사용되었습니다.
이와 동시에 백그라운드에서는 …
IoC
8E6298C3B0ED49DC37CC4C9995F4A7C2
F9221D81B6C672EBEBD2E1A1F59AD1CC
08EA68FBA0A2BED73B44D962712D0371
F9221D81B6C672EBEBD2E1A1F59AD1CC
08EA68FBA0A2BED73B44D962712D0371