안녕하세요
기원테크입니다!
2024년이 시작된 지
벌써 일주일이 지났네요.
조금 늦었지만
새해 복 많이 받으세요~!
요즘
북한 해킹 조직이 꾸준히
이슈가 되고 있는데요.
이슈가 된 만큼
북한 해킹 조직의 여러 해킹 수법이
공개되었습니다.
그럼에도
북한 해킹 조직은 끝없이
새로운 수법을 만들어 가면서
피싱 공격을 멈추지 않고 있습니다.
이번에 새로 공개된 수법은
'북한 시장 물가 분석 문서' 등으로 위장한 파일에
악성코드를 심어서 유포하는 것입니다!
오늘은
'북한 시장 물가 분석 문서'를 이용한
피싱 공격에 대해 자세히 말씀드리겠습니다.
메신저 피싱공격 펼치는 北…물가분석 자료로 '위장'
https://www.edaily.co.kr/news/read?newsId=03463686638754112&mediaCodeNo=257&OutLnkChk=Y
북한 해킹 조직 'APT37'은
지난해 5월부터 11월까지
'북한 시장 물가 분석 문서'로 위장한 파일에
악성코드를 심어 대북 종사자들에게 유포했습니다.
유포 자료로
국내에서 주로 사용하는 HWP, HWPX 등
한글과컴퓨터 문서 파일을 이용했는데요.
여기서 중요한 점은
악성 문서를 유포한 방식이
정교화된 것입니다.
해커는
먼저, '조선 시장 물가 분석(회령)'
또는 '조선 시장 물가 분석(신의주)'라는 제목의
악성 문서가 담긴 이메일을 특정 인물에게 보냅니다.
메일 수신자는
해당 파일을 열람하게 되며,
그때 수신자의 PC를 원격으로
제어할 수 있는 환경으로 만드는 것입니다.
여기서 끝이 아니라
로그인이 되어 있는 PC용
모바일 메신저 또는
사용자가 키보드로 비밀번호 입력 시
이를 가로챌 수 있는 '키로커'라는 악성코드를 통해
계정 정보를 탈취했습니다.
위와 같은 수법으로 탈취한 정보로
사용자의 주변인에게 악성 문자를 전송해
2차 공격을 가했다고 합니다.
이렇게 수법을 늘려가는 이유는
주변인으로 위장해 피해자를 안심시키고
의심을 피하기 위함입니다.
PC용 모바일 메신저의
일대일 대화 혹은 단체 대화방에
악성 파일을 유포한 내용이 공개되었는데요.
대화 내용 속 파일을 조사한 결과,
해당 엑셀 파일은 코로나19와 북한 시장 관련
내용으로 위장된 것이었습니다.
엑셀 파일 열람 시 나타나는
'보안 경고 Active 컨트롤을
사용할 수 없도록 설정했습니다.'
배너의 '콘텐츠 사용' 버튼을 악용해
해당 버튼을 클릭했을 때 악성코드가 실행되도록
만든 것입니다.
악성코드가 실행되면
공격자의 '명령제어 서버(C2)'로
피해자의 PC가 연결되므로
이 문서가 널리 퍼져
피해자가 늘어날수록 공격자의
공격 경로도 늘어나는 것입니다!
이는
인터넷 익스플로러(IE)에서 발견되지 않았던
새로운 취약점을 이용한 기법입니다.
이런 형식의 피싱 공격은
주로 이메일로 시작되며,
사용자가 많은 모바일 메신저까지
확대되고 있습니다.
이렇게
악성코드를 설치하는 경로가 넓어지고
그만큼 피해도 늘어나기 때문에
피싱 공격의 시작점인
이메일 보안에 주의를 기울여야 합니다!
ReceiveGUARD(리시브가드)
첨부파일 내 악성코드,
메일 본문 내 악성링크 등
여러 피싱 공격을 예방하는
EG-Platform의
ReceiveGUARD(리시브가드)를
소개해 드리겠습니다 ㅎㅎ
ReceiveGUARD(리시브가드)는
악성 메일에 대해 필터링 및 차단을 하는
메일 APT 보안 솔루션입니다!
3단계 악성메일 행위 분석 검사
ReceiveGUARD(리시브가드)는
3단계 악성메일 행위 분석 검사를 통해
신종 바이러스 및 랜섬웨어를 검출합니다.
먼저
1단계 백신(패턴)검사를 통해
기존에 검출되어 백신에 등록되어 있는
바이러스를 검출합니다.
2단계 환경 변화 검사에서는
백신 프로그램을 통해
윈도우 환경 변화를 감지하며,
마지막 동적 검사인
3단계 행위 분석 검사를 진행하여
패턴이 없는 신종 바이러스를 검출합니다.
URL 검사
앞서 말씀드린 것처럼
ReceiveGUARD는 메일 본문, 첨부파일 내의
모든 URL을 검사합니다.
이 과정에서
한 번의 URL 검사로 끝내는 것이 아닌,
End-Point까지 추적 검사를 진행하여
1차부터 N차 URL까지 전부 확인합니다.
이때 악성 URL이 검출되면
해당 URL을 사용자가 클릭할 수 없도록
이미지로 변환하여
안전하게 전달해 드리고 있습니다.
유사 도메인 검사
두 번째로 ReceiveGUARD는
사람의 눈으로 구별하기 어려운
사기성 유사 도메인 선별 검사를 진행합니다.
기존에 주고받던 도메인과
유사한 도메인으로 메일이 수신된 경우
사용자에게 알려주는 것인데요.
공식적으로 알려진 패턴에 기반하여
검출하는 것이 아니라
기업별로 맞춤형 데이터를 구축하여
실시간 분석 검사를 진행합니다.
따라서
사기성 유사 도메인을 정확하게
판단할 수 있습니다.
이외에도
ReceiveGUARD(리시브가드)의
여러 기능들이 존재합니다!
이런 APT 공격에 특화된 메일 솔루션
ReceiveGUARD(리시브가드)와 함께
안전하고 편리한 업무 환경을 만들어 보는 건
어떠신가요??
다음에 또
유익한 정보와 함께 돌아오겠습니다!
ReceiveGUARD에 대해 더 알고 싶다면?
EG-Platform
eg-platform.com
기원테크 카카오톡 채널을 추가하여
매주 업로드되는 새로운 소식을 빠르게 받아보세요! ㅎㅎ
기원테크
더 나은 업무 환경을 위해 메일 서비스, ERP, SI를 전문적으로 제공하는 기업 기원테크입니다.
pf.kakao.com
'기원테크 > 이메일보안' 카테고리의 다른 글
| AI 악용한 피싱 주의, 이메일 보안은 ReceiveGUARD(리시브가드)로! (0) | 2024.03.08 |
|---|---|
| 연말연시 끊이지 않는 이메일 공격, APT 사기 메일 솔루션 ReceiveGUARD(리시브가드)로 해결해요! (2) | 2024.03.06 |
| 골프존 해킹, 피싱메일은 ReceiveGUARD(리시브가드)로 대응하세요! (0) | 2024.01.10 |
| 피싱 메일, ReceiveGUARD(리시브가드)로 대응하세요~ (1) | 2024.01.09 |
| 나의 수∙발신 메일을 안전하게 지켜주는 메일 보안 국제 표준 기술 (0) | 2024.01.08 |
