イーストセキュリティーによると、今回の攻撃はEメールに悪性ファイルを添付して送る典型的なスピアフィッシング攻撃とは違い、最近の時事ニュースを装ってURLリンクのクリックを誘導するという。
特に今回の攻撃は北朝鮮の分野で活動する対北専門家を主な標的にして行ない、故盧泰愚元大統領の婿でSKグループのチェ・テウォン会長がソウル大病院の葬儀場へ弔問に訪れてアメリカ出張に行くというNAVERに掲載されたニュースを装って、受信者の警戒心を緩めて接近する緻密さを見せている。
イーストセキュリティーのセキュリティー対応センターが確認した結果、今回の攻撃に使われた文句や偽サイト画面は実際にあるマスコミのニュース内容をそのまま無断引用していることが分かった。
攻撃に使われたEメールは、送った人とアドレスが「NAVERニュース」となっており、実際の送信者はブルガリアのメールサービスであることが明らかになった。このサービスは、北朝鮮関連のサイバー攻撃組織がこれまで何度か使っていたもので、Eメールを詳しく見ると、comドメインではなくcornというアルファベットで巧妙に発信地を偽装したことも分かった。
ハッキングメールの本文には「ニュースを見る」というリンクが2か所あり、全て海外のサーバーへの接続を誘導している。このリンク先に接続した使用者のIPアドレスやウェブブラウザなど一部の情報が流出する可能性があり、攻撃者の意図に従ってさらなる悪性ファイルが設置される恐れがある。その後、実際のニュース内容を装った偽画面が見られるようになる。
イーストセキュリティー側は「これまで北朝鮮偵察総局と連携していると広く知られた同一の攻撃者は、悪性マクロ命令を挿入したワード、エクセル文書やPDFのぜい弱点を主に使用していた。今回はEメール本文に偽リンクを入れてクリックの有無をチェックし、外部に監視されるのを最小化するよう偵察段階が観測された点が注目だ」と説明した。
Copyrights(C) Edaily wowkorea.jp 5