[보안] 플레이 랜섬웨어 그룹 배후에 북한 지원 해커조직이 있다
본문
유닛42는 최근 발표한 랜섬웨어 공격 조사에서 북한 인민군의 정찰총국과 연관된 해커 조직 '점피 파이시스(Jumpy Pisces)'가 기존 랜섬웨어 인프라를 사용한 것을 최초로 발견했으며, 이러한 북한 연관 해커들의 ‘전술, 기법, 절차(TTPs)’ 변화는 랜섬웨어를 포함한 금전 목적의 사이버 범죄 활동에 깊숙이 관여하고 있음을 나타낸다고 밝혔다.
점피 파이시스는 '안다니엘(Andariel)' 또는 '오닉스슬릿(Onyx Sleet)'으로도 알려져 있으며, 과거 사이버 스파이 활동, 금융 범죄 및 랜섬웨어 공격에 연루된 바 있다. 또한, 미국 법무부에 의해 자체 개발한 랜섬웨어인 '마우이(Maui)'를 배포한 혐의로 기소되었다.
유닛42는 북한의 지원을 받는 해커들이 점피 파이시스의 수법과 동일하게 유출된 사용자 계정을 통해 피해 조직의 시스템에 침투하여 초기 접근 권한을 얻은 뒤 ‘디트랙(DTrack)’이라는 맞춤형 악성코드를 통해 조직 내에서 횡단하며 지속적으로 활동을 수행했던 것으로 추정했다. 디트랙은 북한 해커 조직과 연관된 해킹 사건에서 사용된 바 있는 정보 수집형 악성코드로 도난당한 데이터는 GIF 파일로 압축되어 숨겨진다.
유닛42는 북한 해커들과 플레이 랜섬웨어 위협 행위자 간의 협력 여부를 동일한 유출된 계정 사용, 동일한 악성코드 사용 등 여러 기술적 요소를 기반으로 평가했다. 위협 행위자들은 인증 정보 수집, 권한 상승, EDR 센서 제거 등의 사전 랜섬웨어 활동을 수행해 최종적으로 플레이 랜섬웨어를 배포했으며, 브라우저 기록, 자동 완성 데이터 및 신용카드 정보를 탈취하기 위해 다른 도구도 사용한 것으로 밝혀졌다.
이번 사건을 두고 팔로알토 네트웍스는 북한 위협 그룹이 광범위한 랜섬웨어 공격을 감행할 가능성이 커지면서 국제 사이버 보안에 심각한 위협을 초래할 수 있다고 우려했다. 또한, 전 세계 보안 관계자는 점피 파이시스의 이번 활동을 단순한 스파이 활동이 아닌 랜섬웨어 공격의 전조로 인식해야 하며, 이에 대한 경각심을 더욱 높여야 할 필요성이 있다고 설명했다.
<ansonny@reviewtimes.co.kr>
<저작권자 ⓒ리뷰타임스, 무단전재 및 재배포 금지〉
추천한 회원
TepiphanyI리뷰어김우선I기자의 최신 기사
-
[Culture] [관광] 제주 에코랜드, 겨울 축제 ‘산타의 수상한 마을’ 운영22시간 49분전
-
[Consumer] [주류] “아이스크림 먹었는데 취하네” 지평주조, 막걸리 아이스크림 출시24시간 38분전
-
[문화&이벤트 리뷰] [여행 리뷰] 제주관광공사가 추천하는 ‘놓치지 말아야 할 겨울 제주 관광지’24시간 51분전
-
[IT] [PC] 인텔, 최신 게이밍 기능 제공 ‘아크 B-시리즈’ 그래픽 카드 출시2024-12-04
-
[Culture] [음식] ‘한국 장 담그기 문화’ 유네스코 인류무형문화유산에 등재2024-12-04
-
[인물리뷰] [반도체] 인텔 구원투수 팻 겔싱어 CEO, 4년 만에 물러나2024-12-03
-
[Culture] [여행] 일본 골프 여행, 동계 시즌 온천과 골프 결합한 ‘온골프’ 상품 선보여2024-12-03
-
[문화&이벤트 리뷰] [요리 리뷰] 몸보신에 좋다고 소문난 한우 요리 레시피 ‘한우 마라 뽁작장•한우 우족 국물 파스타’2024-12-01
댓글목록0