맨디언트, 미국-유럽 보안 연구원 노리는 북 해커 발견 
상태바
맨디언트, 미국-유럽 보안 연구원 노리는 북 해커 발견 
  • 곽중희 기자
  • 승인 2023.03.15 11:19
  • 댓글 0
이 기사를 공유합니다

맨디언트가 최근 미국과 유럽의 보안 연구원 대상으로 하는 북한 해커 그룹의 활동을 발견하고 관련 보고서를 발표했다.

해당 보고서에 따르면, 새롭게 발견된 해킹 툴은 가상자산이 어떻게 북한 정부를 지원할 수 있는지 알려준다. 

UNC2970로 알려진 북한 해커 그룹은 미국과 유럽의 보안 연구원을 노리고 있다. 하지만 공격이 성공했는지 판단할 수 있는 정보는 아직 발견되지 않았다.

맨디언트에 따르면, UNC2970는 최근 가짜 인사담당자 계정을 이용해 링크드인에서 사용자를 직접 공략하는 방식을 사용하고 있다.

맨디언트가 템프.허밋(Temp.Hermit) 공격 그룹 계열이라고 추정하는 UNC2970가 새롭게 사용하는 몇 가지 해킹 툴은 다음과 같다.

• 터치시프트(TOUCHSHIFT): ▲키로거(keylogger) ▲스크린샷 유틸리티 ▲완전한 기능을 갖춘 백도어까지 다양한 후속 툴링을 사용할 수 있게 지원하는 툴

• 터치샷(TOUCHSHOT): 실행 중인 시스템의 스크린샷을 촬영해 이후 공격자가 회수할 수 있도록 파일로 저장

• 라이트시프트(LIGHTSHIFT): 페이로드를 위한 메모리 내 전용 드로퍼

• 라이트샷(LIGHTSHOW): 라이트시프트에서 배포하는 페이로드로, 동적정〮적 분석 방해에 사용되는 두 가지 주요 반분석(anti-analysis) 기술을 활용하는 유틸리티, 라이트샷은 특히 북한의 탐지 회피 능력이 향상됐음을 암시

• 리드시프트(LIDSHIFT): 타이트VNC(TightVNC)의 트로이 목마화 버전

• 리드샷(LIDSHOT): 암호화된 DLL을 메모리에 주입하는 리드시프트의 보조 기능으로, 주입된 DLL은 트로이 목마화된 노트패드++(Notepad++) 플러그인으로 다운로더 역할을 수행

• 후크샷(HOOKSHOT): 오픈SSL(OpenSSL)의 정적 연결 구현을 활용해 C2와 다시 통신하는 터널러 사이드쇼(SIDESHOW): C/C++로 작성된 백도어로, C2 서버와 HTTP POST 요청을 통해 통신



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.