북 연계 해킹 조직, 대북 관련 종사자 대상 피싱 온라인 바카라 진행중!
대북관련종사자대상으로진행된피싱온라인 바카라이발견돼사용자들의각별한주의가필요합니다.
이번온라인 바카라은'[kakao]해외지역에서로그인되었습니다'라는제목으로카카오팀이발송한이메일처럼위장하여발송되었습니다.
본문에는귀하의계정이해외지역에서로그인되었습니다라는내용과함께[해외지역로그인차단하러가기]버튼이포함되어있습니다.
해당버튼에는링크가포함되어있으며,링크클릭시온라인 바카라자가제작해놓은피싱페이지로이동합니다.
피싱 페이지의 경우 매우 정교하게 제작되어 있으며, 로그인 영역 뿐만 아니라 QR코드 로그인, 개인정보처리방침과 같은 다른 메뉴들도 제작해실제 페이지 처럼보이도록 위장하고 있습니다.
[그림 2] 피싱 페이지 추가 메뉴 화면
QR 페이지의 경우 분석 시점 동작하지 않았습니다.계정정보 페이지에 계정정보를 입력하면 입력한 계정정보는 base64로 인코딩 되어 온라인 바카라자 서버로 전송됩니다.
특히 이번 온라인 바카라에 사용된 IP는 얼마 전 ESRC에서 공개한 '연말 외교·안보 종사자 대상 자료요청, 알고 보니 北 연루 해킹 위협' 온라인 바카라에서도 활용된 적 있습니다.
ESRC는 여러 지표들을 분석한 결과, 이번 온라인 바카라은 북한이 배후에 있는 APT 조직의 '스모크 스크린(Smoke Screen') 온라인 바카라 활동의 연장선으로 결론지었습니다.
북한 배후로 지목된 해킹 온라인 바카라이 지속되고 있는 만큼, 관련자 여러분들의 각별한 주의가 요구됩니다.
IoC
hxxps://accountsosi[.]kakaocop.eu/