lazarusholic

Everyday is lazarus.dayβ

주중 한국대사관을 사칭한 스피어피싱 메일

2024-04-03, Hauri
https://hauri.co.kr/security/issue_view.html?intSeq=440&page=1&article_num=336
#Kimsuky

Contents

주중 한국대사관을 사칭한 스피어피싱 메일
등록일 :
2024.04.03
◎ 북한 김수키(Kimsuky) 해킹 조직의 소행으로 추정되는 APT 공격
◎ 회신 메일에 능동적이고 자연스럽게 대응하며 악성코드 감염 유도
◎ 발신자의 발송 진위여부, 상시 보안교육이 중요!
지난 2월말, 주중 한국대사관을 사칭하여 서울대교수에게 스피어피싱 메일이 발송된 것이 발견되었다. 발신자는 한중, 북중 관계 회의 참석을 요청하며, 회의 방법과 일정을 조율하는 등 자연스러운 메일로 수신자와 소통하였다.
수신자가 의심하지 않도록 메일로 소통하면서 악성코드가 첨부된 링크(구글 드라이브 이용) 파일을 수신자에게 전달하여 실행을 유도했다.
(* 악성첨부 파일명 : 202404주중대사관 정책간담회.rar)
다운로드 된 악성코드는 RAR 압축형태로 되어 있으며, 메일 수신자 외에는 해당 파일을 열람하지 못하게 하려는 의도로 비밀번호가 설정되어 있다. 압축파일 내에는 미끼용 정상파일(.hwp) 4개와 악성 스크립트가 포함된 파일(.lnk) 이 함께 존재한다.
함께 첨부된 미끼용 정상 파일 4개는 비공개용으로 전체일정, 회의일정 비자 신청 절차, 간단이력 샘플 양식 등의 문서이다.
수신자가 첨부된 파일이 실행되지 않는다고 회신하였으나, 발신자는 문제가 되는 부분을 캡쳐해서 회신을 달라고 요청하였으며, 이는 악성코드를 수정한 뒤 다시 전달하려는 의도로 보이며, 특정 타겟을 집요하게 공격하는 모습을 확인할 수 있다.
북한 김수키(Kimsuky) 해킹 …