워터링홀 공격 실시하는 어스키츠네...북한 관련 사이트에 휘스커멀웨어 심어둬

요약 : IT 외신 블리핑컴퓨터에 의하면 새로운 백도어가 발견됐다고 한다. 이름은 휘스커스파이(WhiskerSpy)라고 하며, 개발자는 어스키츠네(Earth Kitsune)라는 APT 단체인 것으로 추정되고 있다. 휘스커스파이는 이른 바 워터링홀(watering hole) 공격을 통해 퍼지고 있다. 북한에 친화적인 사이트(이미 어스키츠네가 감염시킨 사이트들이다)에 방문한 사람들이 주요 표적이 되고 있다. 이런 사이트에서 영상 자료를 보려고 할 때 코덱을 설치해야 한다는 안내가 뜨는데, 이 때 설치되는 게 휘스커스파이다.


배경 : 어스키츠네는 북한에 관심을 두고 있는 개인과 단체들을 주로 공격하는 해킹 그룹으로 비교적 최근에 등장했으며, 수준이 높은 것으로 알려져 있다. 휘스커스파이는 셸을 심고, 파일을 다운로드 및 업로드 하고, 스크린샷을 캡처하고, 실행파일을 받아 실행하는 등의 기능을 가지고 있다.

말말말 : “공격에 연루된 IP 주소들은 중국, 일본, 브라질에 있는 것으로 추적됐습니다. 하지만 브라질의 IP 주소는 공격자들이 VPN을 실험해 보는 과정에서 생성된 것으로 보입니다.” -트렌드 마이크로(Trend Micro)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>