여러분님을 위한 뉴스레터, 에쓱-케어입니다!
매달 새로운 IT보안 소식을 여러분님께 배달해드립니다 :)
피드백하기 | 구독하기 |
|
|
이또수키?! (이번에도 또 김수키야?!)
한미연합훈련 틈타 '세무담당자','미군 인사처'인 척 속여 |
|
|
지난 에쓱-케어 6월 뉴스레터에서 태영호 장관의 이메일 계정이라 사칭한 뒤, 북한 관련 전문가들을 대상으로 해킹시도를 하려던 김수키(Kimsuky)에 대해 소개한 바 있는데요.
이번엔 김수키가 한미연합연습 시기를 틈타 ‘세무담당자’와 ‘미군 인사처’로 속여 사이버 공격을 시도한 사건이 있어 에쓱-케어에서 정리하였습니다. |
|
|
지난 20일 경기남부경찰청 안보수사과에 따르면 북한 해킹조직 김수키(Kimsuky)가 국내 전쟁모의연습 (워게임, War Game) 운용업체 직원들을 대상으로 올해 2월부터 지속적인 보안 위협을 시도했다고 전했습니다. |
|
|
어떤 수법으로 보안위협을 했는데? 🤔
인시트 그룹 (Insikt Group)에 따르면 그들의 초기 공격벡터는 소셜엔지니어링 기법 중 하나인 스피어피싱 (Spear-Phishing)으로, 해커가 특정 피해자에 대해 미리 조사한 뒤, 이를 악용하여 신뢰하는 사람인 척 가장하는 메시지를 발송하여 행동을 유도합니다. 특히 이런 공격행위는 주로 사용자 정보, 컴퓨터 네트워크 또는 기업 자금에 대한 액세스 권한이 있는 특정 개인을 대상으로 행해집니다.
김수키(Kimsuky)는 ‘연말정산’을 이용한 스피어피싱을 행했는데요.
지난 1월 김수키(Kimsuky)는 워게임 소속 행정직원의 이메일 계정 탈취, 업체 컴퓨터에 악성코드를 심는데 성공하였습니다. 그 후 원격접속을 통해 피해업체의 전 직원의 신상정보, 연말정산 등 여러 업무 자료를 탈취하였습니다.
이후 이 자료를 2월부터 연말정산 시기에 맞춰 ‘원천징수영수증’우로 위장된 악성 이메일을 주한미군 전투모의센터에 파견된 업체 직원들을 대상으로 발송했습니다. |
|
|
경찰에 따르면 김수키는 지난해 4월부터 이 운용업체를 해킹하기 위해 악성 전자우편 공격을 지속적으로 행했다고 전했다고 합니다. 여기에 더해 한미연합훈련인 ‘을지프리덤실드 (을지 자유의 방패, UFS)를 앞두고 지난 7월에 미 육군 인사처를 사칭한 이메일이 한미군 한국인 근무자들에게 발송된 사실도 추가로 확인했습니다. |
|
|
김수키라는 건 어떻게👀 알았지?
경찰은 악성 이메일 내용 중 ‘염두’라는 표현이 1) 북한식 어휘인 ‘념두’로 쓰여있다는 점과 2) 경유지 구축방법, 그리고 사용된 아이피(IP) 대역이 지난 2014년 3) ‘한국수력원자력 해킹 사건’에서 확인된 IP 대역과 일치하다는 점을 종합적으로 고려한 결과 이번 사건을 김수키의 소행인 것으로 판단했습니다. |
|
|
그래서 결론은...
금번 김수키의 악성 전자우편 발송으로 워게임 직원들의 일부 개인자료가 북한으로 넘어갔지만, 군 관련정보는 유출되진 않았다고 합니다.
이에 대해 경기남부청과 미군 수사기관은 피해업체의 공용 및 직원 개인 컴퓨터에 대해 악성코드 감염 여부를 점검하는 등 보호조치를 실시하고, 추가 피해가 발생하지 않도록 한미연합연습에 참여하는 근무자들을 대상으로 보안교육을 실시했습니다. |
|
|
김수키의 공격시도 히스토리.zip 📁
2012년에 만들어진 김수키는 북한 정부가 한국, 미국을 위협하기 위해 정보를 탈취하는 북한의 해킹조직으로 이번년도 6월에 한국정부가 김수키를 블랙리스트에 올렸습니다.
그들이 공격을 행한 리스트는 다음과 같습니다.
- 2023년 : 한미연합훈련에 맞춰 사이버 공격 해킹시도
- 2022년 : 태영호 국회의원실 사칭을 통한 대한민국의 외교안보전문가 및 기관 해킹
- 2021년 : 한국원자력, 한국항공우주산업, 대우조선해양, 서울대학교병원 등 해킹
- 2014년 : 한국수력원자력 원전 도면 유출
|
|
|
센티넬원이 우리한테 상을 줬어요🙋♂️
센티넬원 아태지역 최고의 파트너 축제🎉 |
|
|
지난주 22일 센티넬원(SentinelOne)에서
아태지역 파트너들을 대상으로 어워즈를 진행했어요!
여기에 우리 에스케어도 참석하여 자리를 빛냈는데요.
수상소식에 대한 자세한 내용은 아래 링크를 통해 확인 바랍니다 😁 |
|
|
[오프라인 행사] ISEC 2023 (International Security Conference) |
|
|
이번달 19-20일에 국내 보안인 축제 ISEC이 양일간 코엑스(COEX)에서 진행됩니다.
본 행사에는 센티넬원(SentinelOne), 케이토네트웍스(Cato Networks), 시만텍(Symantec)이 참가 기업으로 참여하여 부스와 발표 세션을 운영합니다.
센티넬원은 XDR 동향 및 그에 대한 센티넬원만의 차별화된 로드맵을 제시하고, 케이토네트웍스는 현재 네트워크 보안에서 화두가 되고 있는 SASE에 대해 집중조명할 예정입니다.
이와 더불어 부스에선 여러분들이 관심 가질 만한 다양한 이벤트를 준비하고 있으니 많은 관심 바랍니다😊
자세한 내용은 위 배너를 클릭하여 확인하시기 바랍니다. |
|
|
[오프라인 행사] 태니엄 데이 (Tanium Day 2023) |
|
|
통합 엔드포인트 관리(XEM) 제공 기업 태니엄(Tanium)에서 9월 13일 태니엄 데이(Tanium Day 2023)를 진행합니다. 본 행사는 초청된 고객 대상으로 진행되며 강연 내용은 태니엄이 집중하고 있는 기술력에 대한 설명과 더불어 성공사례 및 데모까지 준비하였습니다. |
|
|
📌 메타인크립터 (Metaencryptor), 블로그를 통해 희생 대상 기업 12군데 공개
랜섬웨어 그룹 “메타인크립터 팀”이 운영 중인 블로그를 통해 12개의 희생기업들을 공개했습니다. 해당기업은 독일, 미국, 호주, 벨기에, 캐나다, 이탈리아 등이 있었고, 이 중 한국도 그 대상에 포함되었습니다. 해당 블로그에는 각 기업의 홈페이지, 노출된 데이터 규모, 또한 훔친 데이터를 유출하기까지 남은 시간이 표기되어 있으며, 몇 기업들은 데이터가 유출되고 있다고 설명했습니다.
📌 라자루스 그룹(Lazarus Group), ManageEngine 취약점 악용하여 QT 배포
24일 시스코 탈로스 인텔리전스 그룹(Cisco Talos Intelligence Group)에 따르면 북한 산하 해커그룹 라자루스 매니지엔진 서비스데스크 (ManageEngine ServiceDesk, CVE-2022-47966)의 취약점을 악용한 캠페인을 진행했다고 트위터를 통해 밝혔습니다. 라자루스 그룹의 MagicRAT, QuiteRAT은 Qt 프레임워크를 이용한 것으로 불필요한 코드 및 기능(Function)등을 삽입하여 멀웨어 분석 및 탐지를 어렵게 합니다.
인시트 그룹 (Insikt Group)은 탈로스 팀으로부터 QuietRAT 샘플을 확보하였고, 해당 샘플이 시스템 정보를 검색하여 로컬IP주소를 획득한다는 사실을 알아냈습니다.
한편 라자루스는 2023년 초에 QuietRAT를 성공적으로 배포하여 유럽의 인터넷 백본 인프라 제공업체를 손상시킨 바 있습니다. |
|
|
이번 달 뉴스레터는 어떠셨나요?
아래 '피드백하기'를 통해 여러분님의 생각을 남겨주세요!
|
|
|
|
✅ 에스케어의 뉴스레터를 지인들에게 [추천]해주세요! |
|
|
|
서울특별시 영등포구 국제금융로 6길 33 여의도동 맨하탄빌딩 1331호
|
|
|
|
