북한 해킹그룹, 대선시기 국내 정보수집 활동 증가

https://m.boannews.com/html/detail.html?tab_type=1&idx=106761 

북한 해킹그룹, 대선시기 국내 정보수집 활동 증가했다

 

최근 대선과 정권 교체 시기에 북한 정부의 지원을 받고 있는 해킹 그룹 SectorA 중 6개 그룹이 활동

NSHC ThreatRecon 팀, 대선 시기 중 북한 정부 지원 해킹그룹 SectorA 활동 내용 공개

 

<SectorA 해킹 그룹>

• 한국과 관련된 정치, 외교 정보를 수집
• 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동 수행
• 스피어 피싱(Spear Phishing) 이메일 공격, 피싱(Phishing) 이메일 공격, 한글 파일(HWP)과 MS 워드(Word) 파일 형태의 악성코드 유포
• 공격 대상은 외교, 정치 분야 종사자에 그치는 것이 아니라, 탈북 관련 인권단체 및 관련 종사자, 대학교에 근무하는 관계자, 그리고 부동산, 주식 및 가상화폐 등에 투자를 하고 있는 일반인들까지 확장되고 있음
• 한글파일 및 MS 워드 파일을 이용해 악성코드를 배포하는 방식을 활발하게 사용
• 금융, 보험, 군수 산업에 속한 기업으로 위장해 ‘사업제안서’, ‘채용’ 등의 주제를 활용한 MS워드 형식의 악성코드를 유포

<SectorA05 해킹 그룹>

• 대한민국의 대선과 관련된 주제와 대북과 관련된 제목으로 한 한글파일 형태의 악성코드를 유포
• 공공기관 종사자에게 전송한 스피어 피싱 이메일 본문에는 핵무장 관련 전문가 좌담회 관련한 MS 워드 파일 형식의 악성코드를 첨부 ( -> 첨부된 악성코드에는 악의적인 매크로 기능이 포함되어 있어 시스템의 주요 정보를 탈취하고 추가 악성코드를 다운로드 받아와 동작시킴)
• SectorA05 그룹의 해킹 활동에서 발견된 문서 정보 관련 메타데이터(Metadata)와 C2 서버 주소는 해당 그룹이 지속해서 사용하고 있는 것으로 확인됨