최근 북한 해킹그룹이 국내 가상화폐 및 포털 사이트 접근 계정을 탈취하기 위해 공격을 시도한 정황이 포착됐다.

오아시스 시큐리티(대표 김근용)는 최근 자사 CTI 서비스 ‘AGATHA(아가사)’를 통해 북한 해킹그룹의 가상화폐 및 포털 사이트 접근 계정 탈취를 위한 공격을 포착했다고 6일 밝혔다.

오아시스 시큐리티에 따르면, 공격에 사용된 경유지 서버는 말레이시아 IP로 확인되며, 다수의 도메인을 지속적으로 변경하면서 사용하고 있다고 설명했다. 경유지 서버에서 포털 사이트(구글, 네이버, 카카오) 접속 계정과 공격당한 사용자의 아이피 등이 저장된 다수의 파일이 노출된 것으로 확인됐다.

특히 경유지에서 노출된 파일에서 공격받은 사용자의 파일이 확인되는데, 대부분 가상화폐 관련 문서, 사진 등으로 확인되었다. 또한 경유지에서 Xeno RAT를 공격에 사용한 정황도 포착되었다.

또한, 국내 기업의 홈페이지를 해킹하여 포털 사이트 계정 정보를 탈취하는 피싱 사이트도 추가로 확인됐다.

김근용 오아시스 시큐리티 대표는 “추가 공격을 차단하기 위해 관련 위협정보를 즉각 유관기관에 전달했다”며 “북한 해킹그룹 이외에도 중국, 러시아 해킹그룹이 사용하는 공격도구에 대한 선제적·공세적 대응이 필요하다”고 강조했다.

오아시스 시큐리티는 3년차 스타트업 보안기업이다. 사이버 위협 정보 서비스 AGATHA는 사이버 위협 세력의 악의적 활동에 대한 억지력 확보와 공세적 방어 역량 강화를 위해 사이버 공격 인프라 사전포착 ·수집 · 추적을 통해 공격이 발생하기 전에 관련 위협정보를 제공한다.

이번 공격 사례와 관련한 문의는 contact@oasis-security.kr로 하면 된다.

---

■[G-PRIVACY 2024] 하반기 최대 개인정보보호&정보보안 컨퍼런스 개최 (7시간 보안교육 이수)

△일시: 2024년 3월 12일(화)

△장소: 서울 양재동 더케이호텔서울 2층 가야금홀

△주최: 데일리시큐

△참석대상자: 전국 공공기관 및 지자체, 교육기관, 공기업, 일반기업, 금융기관 등 개인정보보호 책임자, 개인정보보호 담당자, CISO, 정보보안 실무자 등 1,000여 명 이상(현업 보안업무와 관련 없는 자는 참석불가)

△전시회: 국내외 최신 정보보안 솔루션 소개

△보안기업 전시회 참가신청: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

△참관객 사전등록: 클릭

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★