안녕하세요, 기원테크 입니다!
오늘은 최근 북한의 해커 조직 '김수키'가 탈북민을 위장한 피싱메일을
북한 인권시민단체에 발송한 정황에 대해 알려드리겠습니다!
김수키가 탈북민을 위장한 피싱메일을 유포하고 있는 상황을 소개해 드리고
김수키가 지능형 지속위협(APT)이 무엇인지 알려드린 후,
이러한 위협을 검출하고 막을 수 있는 방법이 무엇인지 설명해 드리겠습니다!
"북한 해커 '김수키', 인권 단체와 탈북민 후원 조직 등 해킹"
https://www.voakorea.com/a/7106111.html
사이버 위협 분석 업체 '센티넬 랩스'는 북한 해커 조직 '김수키'가
특정 탈북민이 보낸 것으로 위장한 피싱메일을 북한 인권시민단체에 발송하는 등
지능형 지속위협(APT) 활동을 벌이고 있다고 밝혔습니다.
● 탈북민 위장 피싱메일
이번 탈북민 위장 피싱메일은 다음과 같이 이루어졌습니다.
북한 특정 탈북민이 보낸 것으로 위장한 피싱메일이 북한 인권시민단체에 발송되었는데
첨부파일 암호를 해제하고 나타나는 파일을 실행하게 되면
악의적 명령이 실행되는 악성메일인 것으로 밝혀졌습니다.
이러한 방식으로 김수키는 북한 인권 단체의 서버를 해킹한 후,
북한 관련 민감한 정보를 탈취하여 북한 정부에 이익을 주는 활동을 한다고 합니다.
● 수신인이 첨부 파일을 실행하도록 유도...
해당 피싱메일은 위의 사진과 같이 '참고 자료'라는 제목으로 발송되어
수신인이 첨부 파일을 실행하도록 유도한다고 합니다.
첨부파일의 이름은 '북한 인권단체 활동의 어려움과 활성화 방안 OOO대표. zip'이라고 되어있는데요
압축파일을 클릭하여 파일의 암호를 해제하면 윈도 도움말 파일(chm)이 생성됩니다.
수신인이 이 chm 파일을 실행하면, 북한 인권에 관련한 내용과 함께 내부에 숨겨진 악성 스크립트가 실행되어
악성 VBS(Visual Basic Scrip) 파일이 자동 실행하도록 등록됩니다.
이후 공격자 서버(C&C)로부터 악의적인 명령을 실행하여 정보를 탈취합니다.
→ '김수키', '지능형 지속위협'이란?
● '김수키'란?
여기서 '김수키'는 무엇일까요?
김수키는 북한의 해킹 조직으로 대한민국의 정보를 빼내기 위해 온갖 교묘한 수단을 동원하는 공작부대입니다.
2012년부터 활동을 시작해 전 세계 여러 표적을 대상으로 피싱메일 등을 통해 정보를 탈취하고 있습니다.
특히 우리나라에서도 지속적으로 지능형 지속위협 활동을 하고 있어 각별히 주의해야 하는데요.
● 지능형 지속위협(APT)
그렇다면 범죄조직 김수키가 활발히 공격하고 있는 지능형 지속위협(APT)은 정확히 무엇일까요?
APT는 해커가 특정 표적을 선정해 다양한 침투 방식을 시도해 본 뒤, 해당 표적에 가장 적합한 공격 방법을 선택해 해킹을 가하는 것을 말합니다.
APT의 공격 과정은
초기 침투 → 거점 확보 → 권한 상승 → 내부 정찰 → 내부 이동 → 지속 실행 → 목표 달성
으로 진행됩니다.
→ 지능형 지속위협, 해결책은?
이렇게 속기 쉬운 피싱메일을 받았을 때 클릭하여 실행하게 되면 악성 행위가 실행되어 정보가 탈취되거나
랜섬웨어에 감염되는 등 위협에 노출될 수 있습니다.
사이버 보안 기업 '하우리'는 첨부파일을 열람하기 전에
발신인의 발신 진위 여부를 파악하는 것이 중요하다고 당부했습니다.
하지만 이렇게 교묘하게 위조한 피싱메일을 받았을 때,
발신인을 위장한 것인지 어떻게 파악할 수 있을까요?
이지플랫폼(EG-Platform)의 리시브가드(ReceiveGUARD)를 사용하면
악성코드를 포함한 피싱 메일을 검출해 낼 수 있습니다!
리시브가드는 헤더, 발신자 진위 여부, 첨부파일, URL END-POINT를 검사합니다.
또한 3단계 악성메일 행위 분석 검사를 진행하는데,
기존 타 솔루션의 패턴 기반 검사와는 달리 행위 분석 검사(동적 검사)를 통해
패턴이 없는 신종 바이러스 및 랜섬웨어까지 검출합니다.
그리고 파일을 열었을 때 실행되는 행위의 마지막까지 검사하는 "End-Point 추적 검사"를 진행합니다.
이번 김수키 피싱 메일 사건에 리시브가드를 사용했을 경우를 살펴보자면 검출 및 차단 과정은 다음과 같습니다.
- 피싱메일이 메일 서버에 도달하기 전에 리시브가드의 CUBE 장치에서 첨부파일을 열어봅니다.
- 이때 내부에 숨겨진 악성 스크립트가 실행되고 악성 VBS 파일이 등록되는 것을 탐지합니다.
- 해당 메일이 차단 처리 됩니다.
기원테크 리시브가드(ReceiveGUARD)로 피싱메일 및 악성메일을 차단하세요!
이메일 보안을 EG-Platform으로 완성하세요!
무료 체험을 원하시는 분은 문의 바랍니다!
이메일 보안 솔루션 문의하려면?
☎ 기원테크 전화번호 : 02-6012-7406
📧 기원테크 이메일 : support@kiwontech.com
더 만은 메일 보안 소식이 궁금하다면?
스타벅스 NFT 프리민팅으로 위장한 피싱메일, 이메일 보안은 기원테크
안녕하세요 기원테크 입니다 다가오는 주말을 기다리며 오늘의 보안 이슈를 알아볼까요? 아침 출근길에 커피를 드시는 분들이 상당히 많을 것이라 생각하는데요 많은 카페 중에 스타벅스는 몇
kiwontech-eg.tistory.com
EG-Platform (이지플랫폼) : https://eg-platform.com/
공식홈페이지 : https://www.kiwontech.com
"기원테크" 카카오톡 채널 링크 : https://pf.kakao.com/_PWFNK
'기원테크 > 이메일보안' 카테고리의 다른 글
| 재산세 피싱메일 주의! 기원테크 이지플랫폼으로 이메일 보안 (0) | 2023.06.12 |
|---|---|
| 카카오팀으로 위장한 악성메일 등장...기원테크와 이메일 보안 해결 (0) | 2023.06.12 |
| 스타벅스 NFT 프리민팅으로 위장한 피싱메일, 이메일 보안은 기원테크 (2) | 2023.06.09 |
| 'daum'인 줄 알았는데...피싱메일 주의보, 이메일 보안은 기원테크 (0) | 2023.06.08 |
| 급증하는 BEC 공격, 기원테크 이지플랫폼으로 이메일 보안 (0) | 2023.06.08 |
