- Google의 Threat Analysis Group(TAG)은 북한 정부 지원배우자들이 보안 연구원들을 대상으로 한 지속적인 캠페인을 보고했다.
- 이 캠페인은 2021년 1월에 처음 공개되었으며, 취약점 연구 및 개발에 종사하는 연구원들을 대상으로 0-day 취약점을 이용한다.
- TAG는 이러한 캠페인을 2년 이상 추적하고 방해하며, 0-day를 찾아 온라인 사용자를 보호하고 있다.
- 최근에는 TAG가 이전 캠페인과 유사성을 바탕으로 동일한 배우자들로부터 새로운 캠페인을 식별했다.
- 최소한 하나의 활성화된 0-day가 지난 몇 주 동안 보안 연구원들을 대상으로 사용되었다. 이 취약점은 영향을 받는 공급업체에 보고되었으며, 현재 패치 중이다.
- 북한의 위협 배우자들은 대상과의 관계를 구축하기 위해 소셜 미디어 사이트를 사용하며, 종종 긴 대화를 나누고 상호 관심사에 대해 협력하려고 시도한다.
- 대상 연구원과의 관계를 확립한 후, 위협 배우자들은 인기 있는 소프트웨어 패키지에 최소한 하나의 0-day가 포함된 악성 파일을 보낸다.
- 성공적인 악용 후, 쉘코드는 가상 머신 체크를 수행하고 수집된 정보와 스크린샷을 공격자가 제어하는 명령 및 제어 도메인으로 보낸다.
- 0-day 취약점을 이용하여 연구원들을 대상으로 하는 것 외에도, 위협 배우자들은 심볼 정보를 다운로드하는데 유용한 도구처럼 보이는 독립형 Windows 도구를 개발했지만, 공격자가 제어하는 도메인에서 임의의 코드를 다운로드하고 실행하는 능력도 있다.
- TAG는 이 도구를 다운로드하거나 실행한 경우 시스템이 알려진 깨끗한 상태인지 확인하기 위한 예방 조치를 취하는 것을 권장하며, 이는 운영 체제의 재설치를 필요로 할 것이다.
- TAG는 연구 결과를 Google 제품의 안전성과 보안성 향상을 위해 사용하며, 식별된 모든 웹사이트와 도메인을 Safe Browsing에 추가하여 사용자가 더 이상 악용되는 것을 방지한다.
- TAG는 Gmail과 Workspace 사용자들에게 정부 지원 공격자 경고를 보내며, 잠재적인 대상들에게 Chrome의 Enhanced Safe Browsing을 활성화하고 모든 장치를 업데이트하도록 권장한다.
- TAG는 보안 커뮤니티와 자신의 연구 결과를 공유하여 인식을 높이고 전략과 기술에 대한 이해를 향상시키는 데 전념하고 있으며, 이는 업계 전반의 사용자 보호를 강화하는 데 이바지한다.