해커즈뉴스 / 해커대학

Donation bitcoin(기부용 비트코인 주소)

 
1Pq3K39XM5xx4CifGKgppXeavtWNNHH7K4
 
기부하신 비트코인은 "보안 취약 계층"을 위해 사용되고 있습니다.
 
 

Donation bitcoin(기부용 비트코인 주소)

 
1Pq3K39XM5xx4CifGKgppXeavtWNNHH7K4
 
기부하신 비트코인은 "보안 취약 계층"을 위해 사용되고 있습니다.
 

공지

 

1. 크롬 브라우저로 접속시 나오는 악성코드 경고창은 구글 크롬의 에러, 즉 오탐(탐지 오류)이므로 무시하시면 됩니다.

2. 이 사이트는 안전하며 깨끗하다는 것을 알려 드립니다.

 

  ▒   [해커대학 - hackers college]   ▒  

작성자: 해커즈뉴스
장르: 해킹
2020/6/10(수)
조회: 219
한국의 해킹 그룹 히개사, 협업 플랫폼 제플린에서 악성 파일 퍼트려  
한국의 해킹 그룹으로 알려진 히개사(Higaisa)가 제플린(Zeplin)이라는 협업 플랫폼에 악성 LNK 파일들을 퍼트리는 공격을 실시하고 있다는 경고가 나왔다. 히개사는 최소 2016년부터 활동해온 것으로 알려져 있으며, 작년에 그 정체가 상세히 공개된 바 있다. 정부 지원 해커로 분류되며, 고스트(Gh0st)나 플러그엑스(PlugX)와 같은 트로이목마를 사용해 정부 사이트나 인권 단체를 주로 노린다.

[이미지 = utoimage]


지난 수 주 동안 히개사는 다단계 사이버 공격을 실시해 가짜 PDF 문서와 악성 스크립트, 악성 페이로드를 여러 시스템에 배포했다. 1단계 감염에서 이들이 사용한 건 LNK 파일이다. 스피어피싱 공격을 통해 피해자들에게 전달되는 아카이브 내에 포함되어 있다. 이 스피어피싱 공격은 5월 12일과 31일 사이에 주로 이뤄졌으며, Project link and New copyright policy.rar 파일과 CV_Colliers.rar이라는 아카이브 파일을 첨부하고 있었다.

이 중 Project link and New copyright policy.rar 아카이브에는 두 개의 LNK 파일과 한 개의 PDF 문서가 포함되어 있으며, 전부 제플린 플랫폼과 연결되어 있다. 두 번째 rar 파일은 제플린에 대한 언급이 없는 것으로 나타났다.

보안 업체 프리베일리온(Prevailion)에 따르면 히개사는 공격을 시작하기 전 최소 1주일 동안의 준비 기간을 가졌다고 알렸다. 왜냐하면 가짜 PDF 파일의 생성일이 5월 5일이었기 때문이다. 공격에 사용되는 나머지 악성 파일들은 그 후에 순차적으로 만들어진 것으로 나타났다. 악성 LNK 파일들은 5월 11일, 즉 피싱 메일이 피해자들에게 도착하던 그 날에 만들어졌다. Project link and New copyright policy.rar 파일은 바로 다음 날 바이러스토탈(VirusTotal)에 제출됐고, 공격에 활용된 도메인이 차단된 것은 5월 16일의 일이다.

한 동안 휴식을 취한 히개사는 5월 30일 다시 나타났다. 이번에는 이력서로 위장한 악성 아카이브(CV_Colliers.rar)가 동원됐다. 홍콩의 왕 레이(Wang Lei)라는 대학생이 보낸 것으로 꾸며진 이력서였다. 이 아카이브 안에도 악성 LNK 파일들이 저장되어 있었다.

이 두 번째 공격의 경우 보안 업체 멀웨어바이츠(Malwarebytes)에 탐지되기도 했다. 멀웨어바이츠는 이 가짜 이력서 아카이브에 저장된 LNK 파일들이 “여러 가지 명령들을 실행하도록 만들어졌다”고 발표했다. 또한 이 명령들이 “지난 3월 보안 업체 아노말리(Anomali)가 발표한 사이버 공격에 관한 보고서에 등장하는 것과 동일하다”고 덧붙였다. 당시 아노말리는 코로나와 관련된 사이버 공격에 대해 보고서를 발표했었다.

이러한 공격을 통해 히개사는 현재 유행하거나 논란이 되는 화젯거리를 공격에 적극 활용할 줄 안다는 사실을 드러냈다. 코로나는 물론 재택 근무자 증가로 인한 협업 툴의 인기도 활용했고, 이력서와 저작권에 대한 내용까지 공격에 담아냈기 때문이다. 프리베일리온 역시 “여러 가지 증거와 정황을 분석했을 때 지난 3월에 보고된 공격과 이번 피싱 캠페인이 같은 해커들에 의해 자행되었다는 결론을 내렸다”고 한다.

구글 트렌드 분석에 의하면 제플린은 현재 미국과 영국, 인도에서 인기가 높은 것으로 나타나고 있다. 히개사의 공격 표적에 대한 정보는 이것 외에 아무 것도 없으며, 프리베일론 역시 “미국과 영국, 인도를 노린 공격일 가능성이 희미하게 있다는 것 정도만 알 수 있다”고 설명했다.

공격 단체들에 대한 온라인 백과사전인 말피디아에 의하면 히개사는 북한과 관련된 단체들을 주로 공격하며, 중국, 북한, 일본, 네팔, 싱가포르, 러시아, 폴란드, 스위스에서 피해 사례가 발견된 바 있다고 한다. 북한 공휴일이나 기념일과 관련된 내용의 미끼를 피싱 공격에 자주 사용한다. 보안 업체에 따라 히개사를 중국의 APT 그룹으로 보기도 한다.

3줄 요약
1. 한국의 정부 지원 해킹 단체로 알려진 히개사, 제플린 플랫폼에서 공격 실시.
2. 5월에 2차례에 걸쳐 대대적인 피싱 캠페인 진행해 악성 LNK 파일과 PDF 파일을 퍼트림.
3. 아직 뚜렷한 공격 표적이나 목표에 대해서는 알려진 바 없음.

  이름   메일   관리자권한임
  내용 입력창 크게
                    답변/관련 쓰기 폼메일 발송 수정/삭제     이전글 다음글    
번호장르제 목작성일
5647 해킹    “카드정보 90만건 해킹”… 카드사들, 재발급 착수 2020/06/11
5646 사건사고    日 닌텐도 두달새 또 뚫렸다…"4월 이후 해킹 계정 30만개" 2020/06/11
5645 해킹    한국의 해킹 그룹 히개사, 협업 플랫폼 제플린에서 악성 파일 퍼트려 2020/06/10
5644 해킹    해킹 대행 서비스, 다크웹에서 양지로 올라오고 있다 2020/06/10
5643 해킹    혼다 해킹당해 11개국 공장 가동 중단 2020/06/10
5642 해킹    문자·연락처 빼간다…무선 이어폰 등 블루투스 ‘해킹 주의’ 2020/06/10
5641 해킹    `나 몰래 결제` 토스, 회사는 해킹 아니라는데 2020/06/10
5640 해킹    다크웹에 떠도는 카드정보 90만건, 내 카드도 해킹? 2020/06/10
5639 해킹    닌텐도 "올 4월 이후 계정 30만개 해킹당해" 2020/06/10
5638 해킹    줌 채팅시 해킹 위험 보안취약점 2개 발견…최신 버전 업데이트 권고 2020/06/09

 
목록