정보보안 스터디 - 17주차 4일 - 북한 해커조직, 공정거래위원회 사칭 피싱 공격

 

 

☞ 북한 공격조직 '코니' 의 공격

 

 

중국에 이어 북한의 공격이 행해지고 있습니다.

원래부터 꾸준히 해오는 것 같지만 말이죠,

 

 

☞ 공격 과정 

 

처음에 zip 파일을 열었을 때

뭔가 많아 그럴 듯 해 보입니다.

 

pdf 파일과 txt 파일은 눈속임이고

파일크기를 보면 알다시피 

한글 파일은 크기가 생각보다 큽니다.

.lnk 확장자이며 바로가기 실행 파일입니다.

 

 

 

 

 

한글 프로그램 아이콘으로 바꿔 눈치 못채게 설정해두었고

 

파일 경로나 명령어에 대한 분석을 회피하기 위해서

북한 공격자는 공백을 많이 두었습니다.

 

 

 

 

 

클릭 시 정상 한글 문서가 뜹니다.

그렇지 않으면 바로 의심을 살 수 있기 때문에 당연히 넣을 수 밖에 없을 것 같습니다.

 

하지만 백그라운드에서는 악성 파일이 실행되고

최종으로 실행 중인 프로세스 목록, 호스트의 정보, 다운로드 폴더 목록, 바탕화면 목록, 사용자 IP 정보 등을 가져옵니다.

 

 

파일dump 나 관리자 권한을 허용하는 영향력이 큰 트로이 목마라면 심각하므로 백신 및 보안에 떳겠지만

이와 같은 사소한 정보 탈취라면 크게 백신에 잡히지는 않으니 이런 방식으로 공격을 많이 하는 것 같습니다.