Stark#Mule 멀웨어 캠페인, 한국인을 대상으로 미 육군 문서 사용

Stark#Mule로 알려진 한국어 맬웨어 캠페인은 미군 모집 문서를 미끼로 사용하여 피해자를 대상으로 한 다음 합법적이지만 손상된 한국 전자 상거래 웹 사이트에서 준비된 맬웨어를 실행합니다.

보안 회사인 Securonix는 Stark#Mule 공격 캠페인을 발견했으며, 이를 통해 공격자는 정상적인 웹사이트 트래픽 속에서 자신을 위장할 수 있다고 말했습니다.

이 캠페인은 한국에서 한국어를 사용하는 피해자를 대상으로 하는 것으로 보이며, 이는 이웃 북한에서 공격이 시작될 가능성이 있음을 나타냅니다.

사용된 전술 중 하나는 한국어로 작성된 표적 피싱 이메일을 보내는 것입니다. 인력 및 예비 업무 문서에 포함된 리소스.

공격자는 합법적인 웹 사이트 방문자로 위장할 수 있는 복잡한 시스템을 설정하여 악성 코드를 전송하고 피해자의 시스템을 장악할 때 감지하기 어렵게 만듭니다.

그들은 또한 허니팟과 같이 미군 및 군인 모집에 대한 정보를 제공한다고 주장하는 사기성 자료를 사용합니다.

수신자를 속여 문서를 열게 함으로써 바이러스가 의도치 않게 실행됩니다. 마지막 단계는 HTTP를 통해 통신하고 피해자의 컴퓨터에 침투하여 찾아 제거하기 어렵게 만드는 어려운 감염을 포함합니다.

Tanium의 EMEA 최고 보안 고문인 Zac Warren은 "특정 그룹을 목표로 삼고 있는 것 같습니다. 이는 한국어를 사용하는 피해자에 중점을 둔 북한과 관련이 있을 수 있음을 암시합니다."라고 말했습니다. "이는 국가가 후원하는 사이버 공격이나 스파이 활동의 ​​가능성을 높입니다."

Stark#Mule은 또한 가능한 제로데이 또는 적어도 알려진 Microsoft Office 취약점의 변종에 손을 댔을 수 있으며, 이를 통해 위협 행위자는 대상 사용자가 첨부 파일을 열도록 하는 것만으로도 대상 시스템에 발판을 마련할 수 있습니다.

Securonix의 사이버 보안 위협 연구 부사장인 Oleg Kolesnikov는 이전 경험과 그가 본 현재 지표 중 일부에 근거하여 위협이 북한에서 비롯되었을 가능성이 높다고 말했습니다.

"그러나 최종 속성에 대한 작업은 아직 진행 중입니다."라고 그는 말합니다. "특이점 중 하나는 미군 관련 문서를 사용하여 피해자를 유인하고 합법적이고 손상된 한국 웹 사이트에서 준비된 악성 코드를 실행하려는 시도입니다."

그는 공격 체인의 정교함 수준에 대한 Securonix의 평가가 중간 수준이며 이러한 공격이 다음과 같은 전형적인 북한 그룹의 과거 활동과 일치한다고 덧붙였습니다. APT37, 한국과 정부 관리를 주요 대상으로 합니다.

"초기 맬웨어 배포 방법은 비교적 사소합니다."라고 그는 말합니다. "관찰된 후속 페이로드는 상당히 독특하고 상대적으로 잘 난독화된 것으로 보입니다."

Warren은 고급 방법론, 교활한 전략, 정확한 타겟팅, 의심되는 국가 개입 및 어려운 바이러스 지속성으로 인해 Stark#Mule이 "절대적으로 중요하다"고 말합니다.

사회 공학을 통한 성공

Qualys의 위협 연구 관리자인 Mayuresh Dani는 시스템 제어 우회, 합법적인 전자 상거래 트래픽과 혼합하여 회피, 지정된 대상에 대한 완전한 제어권 획득, 탐지되지 않은 상태에서 모두 이 위협을 주목할 만하다고 지적합니다. 

“소셜 엔지니어링은 항상 공격 체인에서 가장 쉬운 대상이었습니다. 이것에 대한 호기심으로 이어지는 정치적 경쟁을 혼합하면 타협을 위한 완벽한 비법을 갖게 됩니다.”라고 그는 말합니다.

Vulcan Cyber의 수석 기술 엔지니어인 Mike Parkin은 성공적인 사회 공학 공격에는 좋은 후크가 필요하다는 데 동의합니다.

“여기서 위협 행위자는 목표물이 미끼를 물기에 충분히 흥미로운 주제를 만드는 데 성공한 것으로 보입니다.”라고 그는 말합니다. "공격자가 목표물에 대해 알고 있다는 것과 관심을 불러일으킬 가능성이 있는 것이 무엇인지를 보여줍니다."

그는 북한이 사이버 전쟁, 사이버 스파이 활동, 사이버 범죄 활동 사이의 경계를 모호하게 하는 것으로 알려진 여러 국가 중 하나라고 덧붙였습니다.

Parkin은 “지정학적 상황을 고려할 때 이와 같은 공격은 실제 전쟁으로 확대될 심각한 위험 없이 정치적 의제를 추진하기 위해 공격할 수 있는 한 가지 방법입니다.”라고 말했습니다. 

분단된 국가에서 사이버 전쟁이 발발하다

북한과 남한은 분단 이후 역사적으로 서로 대립해 왔습니다. 상대방에게 유리한 정보를 제공하는 정보는 언제나 환영합니다.

현재 북한은 탄도미사일 시험발사를 통해 물리세계 공세를 강화하고 있으며, 북한도 같은 시도를 하고 있다. 디지털 세계에서.

"따라서 공격의 출처는 관련이 있지만 사이버 보안 노력은 소스에 관계없이 광범위한 잠재적 위협으로부터 보호하기 위해 전반적인 위협 탐지, 대응 준비 및 모범 사례 구현에 집중해야 합니다."라고 Dani는 말했습니다. 

그가 보는 방식에 따르면 미군은 다른 정부 기관, 국제 동맹국 및 민간 부문 조직을 포함한 파트너 국가와 협력하여 Stark#Mule과 관련된 위협 정보 및 가능한 교정 조치를 공유할 것입니다.

"이러한 협력적 접근 방식은 전반적인 사이버 보안 노력을 강화할 것이며 사이버 보안에 대한 국제 협력을 촉진하는 데 매우 중요합니다."라고 그는 지적합니다. "IT는 다른 국가와 조직이 방어력을 강화하고 잠재적인 공격에 대비할 수 있게 하여 사이버 위협에 대해 보다 조율된 글로벌 대응으로 이어집니다."

북한 정부가 후원하는 Lazarus APT(Advanced Persistent Threat) 그룹이 또 다른 사칭 사기, 이번에는 합법적인 GitHub 또는 소셜 미디어 계정을 가진 개발자 또는 채용 담당자로 위장합니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 자동차 / EV, 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• BlockOffsets. 환경 오프셋 소유권 현대화. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/attacks-breaches/stark-mule-malware-campaign-targets-koreans-uses-us-army-documents