Kimsuky 그룹의 대북 종사자 대상 피싱 공격
Contents
AhnLab Security Emergency response Center(ASEC)은 최근 Kimsuky 그룹에서 국내 특정 국책연구기관의 웹메일 사이트와 동일한 사이트를 제작한 정황을 확인하였다.
ASEC에서는 지난 연초에 국내 대형 포털사이트인 ‘네이버/카카오의 로그인화면으로 위장한 웹페이지’를 소개한 바 있다. 공격자는 당시 제작한 가짜 로그인페이지에서 무역/언론/대북관련 인물과 기관을 타겟으로 ID를 자동입력 해두었는데, 이번에도 동일하게 해당 기관 조직장의 ID를 자동입력 해놓은 것을 확인할 수 있다.
만약 사용자가 로그인 시도를 하게 되면 사내 웹메일 사이트의 계정정보를 확보하게 되는 것이므로, 공격자에게는 사용자의 포털사이트 계정정보를 확보하는 것만큼 유용한 데이터일 것으로 판단된다.
현재까지 ASEC에서 확보한 Reverse DNS 데이터와 관련 IP/도메인 및 연관 파일로 판단컨대, Kimsuky 조직의 소행으로 추정하고 있다.
최근 이렇게 정상 사이트의 웹소스를 그대로 사용하여 피싱 공격에 활용하는 사례가 늘고 있으며, 다수의 조작된 도메인을 활용하여 포털사이트 및 기관의 웹메일 인프라를 사칭한 웹사이트가 지속적으로 확인되고 있다.
사용자는 웹메일 시스템을 비롯한 별도 로그인을 요구하는 웹페이지에서 로그인 시도를 할 때는, 접근 URL과 인증서 유효여부와 진위여부를 다시 확인할 필요가 있으며 별도 외부의 경로로 전달 받은 불분명한 URL에 대해서는 접속을 자제해야 한다.
연관 IOC …
ASEC에서는 지난 연초에 국내 대형 포털사이트인 ‘네이버/카카오의 로그인화면으로 위장한 웹페이지’를 소개한 바 있다. 공격자는 당시 제작한 가짜 로그인페이지에서 무역/언론/대북관련 인물과 기관을 타겟으로 ID를 자동입력 해두었는데, 이번에도 동일하게 해당 기관 조직장의 ID를 자동입력 해놓은 것을 확인할 수 있다.
만약 사용자가 로그인 시도를 하게 되면 사내 웹메일 사이트의 계정정보를 확보하게 되는 것이므로, 공격자에게는 사용자의 포털사이트 계정정보를 확보하는 것만큼 유용한 데이터일 것으로 판단된다.
현재까지 ASEC에서 확보한 Reverse DNS 데이터와 관련 IP/도메인 및 연관 파일로 판단컨대, Kimsuky 조직의 소행으로 추정하고 있다.
최근 이렇게 정상 사이트의 웹소스를 그대로 사용하여 피싱 공격에 활용하는 사례가 늘고 있으며, 다수의 조작된 도메인을 활용하여 포털사이트 및 기관의 웹메일 인프라를 사칭한 웹사이트가 지속적으로 확인되고 있다.
사용자는 웹메일 시스템을 비롯한 별도 로그인을 요구하는 웹페이지에서 로그인 시도를 할 때는, 접근 URL과 인증서 유효여부와 진위여부를 다시 확인할 필요가 있으며 별도 외부의 경로로 전달 받은 불분명한 URL에 대해서는 접속을 자제해야 한다.
연관 IOC …