돈을 노리는 북한의 해킹 단체...iso/vhd 파일 활용해 윈도 방어 시스템 우회

요약 : 보안 외신 해커뉴스에 의하면 북한의 APT 단체인 블루노로프(Bluenorof)가 윈도 OS의 방어 시스템 중 하나인 MotW를 우회하기 위한 새로운 기법을 활용하기 시작했다고 한다. 디스크 이미지 파일용 확장자인 .iso와 가상 하드디스크 파일 확장자인 .vhd를 활용하는 것으로, 보안 업체 카스퍼스키(Kaspersky)가 발견했다. 또한 이번 캠페인에서는 각종 벤처캐피탈 및 은행들을 흉내 낸 가짜 도메인들을 다수 만들어 활용했다고도 한다. 일본 기업의 도메인이 사칭되는 경우가 많아 공격 표적이 주로 일본인인 것으로 추정된다.


배경 : 블루노로프는 APT38, 니켈글래드스톤(Nickel Gladstone), 스타더스트(Stardust)로 불리는 북한의 해킹 그룹으로 주로 돈을 목적으로 움직이며, 라자루스(Lazarus)의 하위 단체로 분석되고 있다. 이번 캠페인도 돈을 목적으로 기획 및 진행된 것으로 추정된다.

말말말 : “블루노로프는 금전적 이득을 취하고자 하는 강력한 의지를 가지고 있는 그룹으로, 낮지 않은 성공률을 보이기도 합니다.” -카스퍼스키-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>