에볼루션 카지노 사이트 해커들이 미국 국무부 관련 금융기관을 사칭한해킹시도가확인됐다.
세계 최대 인터넷 검색 업체 구글 위협분석그룹(TAG)은 5일(현지시간) 공개한 보고서에 따르면 ‘김수키’ 또는 ‘탈륨’으로 알려진 에볼루션 카지노 사이트 해킹그룹 ‘APT43’이 지난해 말 미국의 ‘국무부신용조합’(State Department Federal Credit Union)을 사칭해 공격을 감행했다고 RFA(자유아시아방송)가 전했다.
에볼루션 카지노 사이트신용조합은 미국 에볼루션 카지노 사이트 직원과 그 가족 등이 상호유대를 바탕으로 자금의 조성과 이용 등 공동이익을 추구하는 일종의 은행이다.
에볼루션 카지노 사이트 해커들이 피해자에게 보낸 이메일 내의 링크는 국무부신용조합이 작성한 것으로 위장한 PDF파일로 연결됐다.
PDF파일은 피해자의 에볼루션 카지노 사이트 계정에서 의심스러운 로그인 기록이 확인됐다며 해당 파일에 나와있는 링크를 눌러 의심 활동을 확인하라고 경고했다.
보고서에 공개된 실제 사례에 따르면 해커들은 “당신의 (에볼루션 카지노 사이트 이메일 서비스인) 지메일 계정이 현재 일본에서 사용되고 있다”며 “에볼루션 카지노 사이트이 간혹 기기의 위치를 잘못 탐지할 때가 있지만 보안을 위해 당신의 지메일 활동을 확인해 달라”며 링크를 누르도록 유도했다.
피해자가 이 링크를 누르면 비밀번호 등 계정 정보를 에볼루션 카지노 사이트 해커들에게 전달하는 피싱 페이지로 이동하게 된다.
해커들은 컴퓨터 보안 프로그램인 안티바이러스가 파일 안에 있는 링크까지는 검사하지 않는다는 점을 악용해, 정상적인 PDF 파일에 악성 링크를 넣는 방식을 이용했다.
보고서는 APT43가 언론이나 연구기관 관계자로 위장해 에볼루션 카지노 사이트 전문가들에게 이메일로 인터뷰나 정보를 요청하고, 인터뷰 질문지 링크를 정상적인 로그인 화면으로 위장한 피싱 페이지로 연결하는 방식도 소개했다.
그러면서 피해자가 피싱 페이지에 비밀번호를 입력하면 열리는 인터뷰 질문지에 그럴듯한 내용이 담겨있어 비밀번호가 노출된 후에도 피해자가 공격 사실을 의심하기 어렵다고 덧붙였다.
또 보고서는 APT43가 지난해 새롭게 발견된 ‘브라우저 인더 브라우저’ (browser-in-the-browser) 형식의 피싱 페이지를 이용해 정상적인 화면 안에 가짜 로그인 화면이 열리도록 하기도 한다고 소개했다.
가짜 화면의 인터넷 주소(URL)와 로그인 입력창이 실제와 유사해 피해자가 정상적인 로그인 화면에서 비밀번호를 입력한다고 생각하도록 구현됐다.
보고서는 APT43이 공격 대상자들에게 이러한 악성 링크나 파일을 보내기 전 이들과 관계를 맺기 위해 며칠 혹은 몇 주에 걸쳐 이메일을 주고받는 등 많은 시간과 노력을 들이고 있다고 설명했다.
특히 APT43가 한국의 언론사 기자를 위장해 에볼루션 카지노 사이트 전문가에게 이메일로 인터뷰를 요청하고, 이 전문가에게 악성코드가 담긴 파일을 보내기 전 여러 차례 이메일을 주고받은 사례도 확인됐다고 덧붙였다.@
