유닛42, 랜섬웨어 공격 조사 발표 “북한과 연관된 해커 금전 목적 사이버 범죄 활동 깊숙이 관여 중”
북한 정찰총국과 연관된 해커 조직 ‘점피 파이시스’와 ‘플레이 랜섬웨어’ 그룹의 협력 발견
인증 정보 수집·권한 상승·EDR 센서 제거 등 사전 활동 수행하고 플레이 랜섬웨어 배포
브라우저 기록·자동 완성 데이터 및 신용카드 정보 탈취 위해 다른 도구도 사용
[보안뉴스 김경애 기자] 북한 지원을 받는 해커 조직과 ‘플레이(Play) 랜섬웨어 그룹’이 서로 협력한 것으로 드러났다. 특히 북한과 연관된 해커가 금전 목적의 사이버 범죄 활동에 깊숙이 관여 중인 것으로 분석됐다.
[이미지=gettyimagesbank]
팔로알토 네트웍스(Palo Alto Networks®) 위협 연구 기관인 유닛42가 최근 발표한 랜섬웨어 공격 조사에서 북한 인민군의 정찰총국과 연관된 해커 조직 ‘점피 파이시스(Jumpy Pisces)’가 기존 랜섬웨어 인프라를 사용했다. 특히 북한 연관 해커들의 ‘전술, 기법, 절차(TTPs)’ 변화는 랜섬웨어를 포함한 금전 목적의 사이버 범죄 활동에 깊숙이 관여한 것을 나타낸다.
점피 파이시스는 ‘안다니엘(Andariel)’ 또는 ‘오닉스슬릿(Onyx Sleet)’으로도 알려져 있다. 과거 사이버 스파이 활동, 금융 범죄 및 랜섬웨어 공격에 연루된 바 있으며, 미국 법무부에 의해 자체 개발한 랜섬웨어인 ‘마우이(Maui)’를 배포한 혐의로 기소됐다.
북한의 지원을 받는 해커들이 점피 파이시스의 수법과 동일하게 유출된 사용자 계정을 통해 피해 조직의 시스템에 침투했다. 초기 접근 권한을 얻은 뒤 ‘디트랙(DTrack)’이라는 맞춤형 악성코드를 통해 조직 내에서 횡단하며 지속적으로 활동을 수행했던 것으로 추정됐다. 디트랙은 북한 해커 조직과 연관된 해킹 사건에서 사용된 바 있는 정보 수집형 악성코드로 도난당한 데이터는 GIF 파일로 압축되어 숨겨진다.
유닛42는 북한 해커들과 플레이 랜섬웨어 위협 행위자 간의 협력 여부를 동일한 유출된 계정 사용, 동일한 악성코드 사용 등 여러 기술적 요소를 기반으로 평가했다. 위협 행위자들은 인증 정보 수집, 권한 상승, EDR 센서 제거 등의 사전 랜섬웨어 활동을 수행해 최종적으로 플레이 랜섬웨어를 배포했으며, 브라우저 기록, 자동 완성 데이터 및 신용카드 정보를 탈취하기 위해 다른 도구도 사용한 것으로 밝혀졌다.
팔로알토 네트웍스는 북한 위협 그룹이 광범위한 랜섬웨어 공격을 감행할 가능성이 커지면서 국제 사이버 보안에 심각한 위협을 초래할 수 있다고 우려했다. 또한, 전 세계 보안 관계자는 점피 파이시스의 이번 활동을 단순한 스파이 활동이 아닌 랜섬웨어 공격의 전조로 인식해야 하며, 이에 대한 경각심을 더욱 높여야 할 필요성이 있다고 설명했다.
팔로알토 네트웍스 코리아 박상규 대표는 "최근 국내에서도 랜섬웨어 공격으로 인한 피해 사례가 증가하고 있으며, 이는 심각한 보안 위협으로 대두되고 있다. 특히, 공격자들이 AI를 전술에 활용하면서 공격의 정교함과 복잡성이 높아지고 있어 이에 대한 효과적인 대응이 요구된다. 글로벌 사이버 보안 산업을 선도하는 팔로알토 네트웍스는 국내 기업의 든든한 파트너로서 최선을 다해 보안을 책임질 것"이라고 밝혔다.
[김경애 기자(boan3@boannews.com)]
북한 정찰총국과 연관된 해커 조직 ‘점피 파이시스’와 ‘플레이 랜섬웨어’ 그룹의 협력 발견
인증 정보 수집·권한 상승·EDR 센서 제거 등 사전 활동 수행하고 플레이 랜섬웨어 배포
브라우저 기록·자동 완성 데이터 및 신용카드 정보 탈취 위해 다른 도구도 사용
[보안뉴스 김경애 기자] 북한 지원을 받는 해커 조직과 ‘플레이(Play) 랜섬웨어 그룹’이 서로 협력한 것으로 드러났다. 특히 북한과 연관된 해커가 금전 목적의 사이버 범죄 활동에 깊숙이 관여 중인 것으로 분석됐다.
[이미지=gettyimagesbank]
팔로알토 네트웍스(Palo Alto Networks®) 위협 연구 기관인 유닛42가 최근 발표한 랜섬웨어 공격 조사에서 북한 인민군의 정찰총국과 연관된 해커 조직 ‘점피 파이시스(Jumpy Pisces)’가 기존 랜섬웨어 인프라를 사용했다. 특히 북한 연관 해커들의 ‘전술, 기법, 절차(TTPs)’ 변화는 랜섬웨어를 포함한 금전 목적의 사이버 범죄 활동에 깊숙이 관여한 것을 나타낸다.
점피 파이시스는 ‘안다니엘(Andariel)’ 또는 ‘오닉스슬릿(Onyx Sleet)’으로도 알려져 있다. 과거 사이버 스파이 활동, 금융 범죄 및 랜섬웨어 공격에 연루된 바 있으며, 미국 법무부에 의해 자체 개발한 랜섬웨어인 ‘마우이(Maui)’를 배포한 혐의로 기소됐다.
북한의 지원을 받는 해커들이 점피 파이시스의 수법과 동일하게 유출된 사용자 계정을 통해 피해 조직의 시스템에 침투했다. 초기 접근 권한을 얻은 뒤 ‘디트랙(DTrack)’이라는 맞춤형 악성코드를 통해 조직 내에서 횡단하며 지속적으로 활동을 수행했던 것으로 추정됐다. 디트랙은 북한 해커 조직과 연관된 해킹 사건에서 사용된 바 있는 정보 수집형 악성코드로 도난당한 데이터는 GIF 파일로 압축되어 숨겨진다.
유닛42는 북한 해커들과 플레이 랜섬웨어 위협 행위자 간의 협력 여부를 동일한 유출된 계정 사용, 동일한 악성코드 사용 등 여러 기술적 요소를 기반으로 평가했다. 위협 행위자들은 인증 정보 수집, 권한 상승, EDR 센서 제거 등의 사전 랜섬웨어 활동을 수행해 최종적으로 플레이 랜섬웨어를 배포했으며, 브라우저 기록, 자동 완성 데이터 및 신용카드 정보를 탈취하기 위해 다른 도구도 사용한 것으로 밝혀졌다.
팔로알토 네트웍스는 북한 위협 그룹이 광범위한 랜섬웨어 공격을 감행할 가능성이 커지면서 국제 사이버 보안에 심각한 위협을 초래할 수 있다고 우려했다. 또한, 전 세계 보안 관계자는 점피 파이시스의 이번 활동을 단순한 스파이 활동이 아닌 랜섬웨어 공격의 전조로 인식해야 하며, 이에 대한 경각심을 더욱 높여야 할 필요성이 있다고 설명했다.
팔로알토 네트웍스 코리아 박상규 대표는 "최근 국내에서도 랜섬웨어 공격으로 인한 피해 사례가 증가하고 있으며, 이는 심각한 보안 위협으로 대두되고 있다. 특히, 공격자들이 AI를 전술에 활용하면서 공격의 정교함과 복잡성이 높아지고 있어 이에 대한 효과적인 대응이 요구된다. 글로벌 사이버 보안 산업을 선도하는 팔로알토 네트웍스는 국내 기업의 든든한 파트너로서 최선을 다해 보안을 책임질 것"이라고 밝혔다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
