220420_유명조달기업
북 해커, 악성 웹 확장 프로그램 통해 이메일 첨부 파일 해킹
상태바
북 해커, 악성 웹 확장 프로그램 통해 이메일 첨부 파일 해킹
  • 곽중희 기자
  • 승인 2022.08.01 11:28
  • 댓글 0
이 기사를 공유합니다

구글 크롬, MS 엣지 등 3개 웹에서 이메일 내 정보 훔쳐가

 

사이버 보안 기업 Volexity의 연구팀에 따르면, 북한 해커 조직 SharpTongue가 크로미엄(Chromium) 기반 웹 브라우저에서 악성 브라우저 확장 프로그램을 이용해 Gmail 및 AOL 이메일 계정 내 첨부 파일을 해킹하고 있다.

연구팀에 따르면, SharpTongue의 수법은 Kimsuky APT와 수법과 비슷하다.

2021년 9월 Volexity 연구팀은 문서화되지 않은 멀웨어를 관찰하고 동시에 SharpTongue와 관련된 여러 보안 사고에 대응하면서 SHARPEXT라는 악성 구글 크롬 또는 마이크로소프트 엣지의 확장 프로그램을 발견했다.

연구팀에 따르면, SHARPEXT의 첫 번째 버전은 구글 크롬만 지원했다. 하지만 현재 버전은 구글 크롬을 포함한 세 가지 웹 브라우저를 지원하고 있다.

Kimsuky APT가 사용하는 확장 프로그램과 달리, SHARPEXT는 사용자의 이메일 아이디와 비밀번호를 해킹하지 않고 피해자의 웹 메일 계정에 접근해 이메일 내용을 훔친다.

SHARPEXT의 공격은 감염된 워크스테이션에서 확장 프로그램을 설치하는데 필요한 파일을 수동으로 추출하면서 시작된다. 윈도우 시스템에 침입하면 해커는 브라우저의 기본 설정과 보안 기본 설정을 바꾼다.

그 다음에 공격자는 VBS 스크립트를 사용해 SHARPEXT를 수동으로 설치한다. 이후 활성 탭 내의 DevTools 패널을 활성화해 이메일 콘텐츠를 감시하고 피해자의 메일함에서 첨부 파일을 훔친다. 이 작업은 dev.ps1이라는 PowerShell 스크립트를 사용한다. 또한 해커는 개발자 모드 확장을 실행하는 경고 메시지를 숨긴다.

Volexity는 “처음 SHARPEXT를 발견했을 때 이는 수많은 버그를 포함한 초기 개발 도구인 것처럼 보였다. 최신 업데이트와 지속적인 관리는 해커가 목표를 달성하고 지속적으로 멀웨어를 개선하고 있음을 보여준다. 수집한 로그에 따르면, 해커는 멀웨어 배포를 통해 여러 피해자로부터 수천 개의 이메일을 훔친다”라고 설명했다.

전문가들은 해커가 악성 브라우저 확장 프로그램을 사용한 것은 이번이 처음이라고 말했다. 이미 로그인된 세션에서 이메일 데이터를 훔치면 이메일 공급자가 공급을 탐지하기 어렵다.

한편, Volexity 연구팀은 이번 공격을 탐지하기 위한 YARA 규칙과 위협에 대한 침해 지표(IOC)를 공유했다.

 

*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.