다크 넷 지하에서는 "라자루스 그룹"으로 알려져 있지만 정보원들은 북한의 디지털 군대라고 말합니다. 소니 픽처스의 악명 높은 2014 년 해킹에서 그 이름을 들었을 수도 있습니다.
그러나 그들의 최신 운영에는 새로운 목표 인 암호 화폐가 있으며 사이버 보안 회사 인 Secureworks가 발견했습니다.
공격의 초점은 cryptocurrencies를 보유하고 관리하는 금융 회사의 임원이며, 이와 같이 작동합니다. 임원은 전자 메일을 수신하여 순위가 올라가고 회사의 최고 재무 책임자가 될 수있는 기회가 있음을 알려줍니다.
Microsoft Word 파일 형식의 첨부 파일이 있습니다. 열릴 때 "문서를 보려면 편집을 활성화해야합니다"라는 알림을 받고 사용자가 "확인"을 클릭하면 두 가지 작업을 수행하는 포함 된 스크립트가 시작됩니다.
먼저, 사용자가주의를 산만하게하고 의심을 피하기위한 실제 작업 설명 인 무해한 문서를 만듭니다.
둘째, 비밀리에 트로이 바이러스의 주입을 시작합니다.
 |
| 무해한 작업 설명 문서 (이미지 : Secureworks) |
원격 액세스 트로이 목마는 전혀 새로운 것이 아니며 지하 다크 넷 포럼에서 사고 팔 수 있지만 이전에 알려진 트로이 목마의 변형이 아닌 것 같습니다.이 트로이 목마는 처음부터 새로 코딩 된 것으로 보입니다 .
코드를 평가할 때 Secureworks Counter Threat Unit은 이전의 북한 운영에서 얻은 것을 인식했습니다. 이는 Lazarus Group이 과거에 주요 명령 및 제어 서버와 통신하는 데 사용했던 C2 프로토콜에 크게 의존합니다.
이 새로운 공격에 대한 첫 번째 발견은 XNUMX 월에 시작되었으며 오늘날에도 계속되고 있습니다.
이러한 공격의 대상이 될 수 있다고 생각하는 사람들은 Microsoft Word에서 매크로를 사용하지 않도록 설정하고 민감한 데이터가있는 시스템에서 XNUMX 단계 인증을 요구하는 것이 좋습니다.
-------
저자: 로스 데이비스
샌프란시스코 뉴스 데스크
코멘트가 없습니다
코멘트를 게시