Your bank is using your money. You’re getting the scraps.WATCH FREE
구글KPWKRW라자루스 그룹마이크로소프트

북한의 코니 그룹이 구글 파인드 허브를 악용해 로그인 정보를 탈취하고 있다

읽는 데 3분 소요
Google에서 저희를 선호하는 검색 엔진으로 추가해 주세요
858079
북한의 코니 그룹이 구글 파인드 허브를 악용해 로그인 정보를 탈취하고 있다

내용물

1. 한국의 한 사이버보안 그룹은 해당 악성 소프트웨어가 한국을 겨냥한 공격용이라고 밝혔습니다
2. 북한의 지원을 받는 해커들의 활동이 더욱 활발해지고 있다
공유 링크:

이 게시글 내용:

  • 북한 해커 그룹 코니(Konni)는 구글 파인드 허브(Find Hub) 자산 trac기능을 처음으로 이용한 일련의 공격을 감행하고 있습니다. 
  • 이러한 공격은 데이터 탈취 및 원격 제어를 목적으로 안드로이드 및 윈도우 기기를 모두 대상으로 합니다.
  • 라자루스 그룹은 마이크로소프트 워드 문서를 미끼로 사용하여 방위산업 및 항공우주 기업을 대상으로 컴배커 악성코드의 업데이트된 버전을 공격에 사용했습니다.

북한 해킹 그룹 코니(Konni)가 구글 파인드 허브(Find Hub) 자산 trac기능을 처음으로 악용하는 새로운 공격 방식을 발견했습니다. 이 공격은 안드로이드 및 윈도우 기기를 대상으로 데이터를 탈취하고 원격 제어 권한을 획득하는 것을 목표로 합니다.

2025년 9월 초에 감지된 활동에 따르면, 해당 공격은 구글의 자산 trac서비스인 Find Hub를 악용하여 개인 데이터를 무단으로 삭제할 수 있는 것으로 나타났습니다. 

이번 해킹은 코니가 스피어 피싱 이메일을 보내 대상의 컴퓨터에 접근하는 것으로 시작됩니다. 이후 대상의 카카오톡 채팅 앱 로그인 정보를 이용해 악성 페이로드를 ZIP 압축 파일 형태로 대상의 연락처에 전송합니다.

제니언스 보안 센터(GSC)는 기술 보고서에서 "공격자들은 심리 상담사와 북한 인권 운동가를 사칭하여 스트레스 해소 프로그램으로 위장한 악성 소프트웨어를 배포했다"고 밝혔습니다 

한국의 한 사이버보안 그룹은 해당 악성 소프트웨어가 한국을 겨냥한 공격용이라고 밝혔습니다

수사관들에 따르면, 스피어 피싱 이메일은 국세청과 같은 합법적인 회사에서 발송된 것처럼 위장합니다. 이러한 수법은 사용자들이 릴리스 RAT(Lilith RAT)과 같은 원격 접속 트로이목마가 포함된 악성 첨부 파일을 열도록 유도하며, 이는 감염된 컴퓨터를 장악하고 추가 악성 프로그램을 전송할 수 있습니다.

공격자는 해킹당한 컴퓨터에 1년 이상 숨어 지내면서 웹캠을 통해 감시하고 사용자가 부재중일 때 시스템을 조작할 수 있습니다. GSC는 라고 밝혔습니다"이 과정에서 최초 침입 시 얻은 접근 권한은 시스템 제어 및 추가 정보 수집을 가능하게 하며, 회피 전술은 장기간 은폐를 허용합니다."

소식도 참고하세요.  IBM이 은행 및 정부를 위한 단일 패널 블록체인 솔루션을 출시했다는
북한의 코니 그룹이 구글 파인드 허브를 악용해 로그인 정보를 탈취하고 있다
Konni 공격 흐름. 출처: The Hacker News

해커는 피해자의 구글 및 네이버 계정dent증명을 훔칠 수 있습니다. 탈취한 구글 비밀번호를 손에 넣은 해커는 이를 이용해 구글 파인드 허브에 로그인하고 피해자의 기기를 원격으로 초기화합니다.

예를 들어, 이 해커들은 네이버에 등록된 복구 이메일 계정에 로그인하여 구글 보안 알림 이메일을 삭제했습니다. 또한, trac을 숨기기 위해 받은 편지함의 휴지통 폴더까지 비웠습니다.

해커들은 ZIP 파일도 사용하고 있습니다. 이 파일은 "Stress Clear.msi"라는 악성 Microsoft Installer(MSI) 패키지를 포함하는 메시징 앱을 통해 유포됩니다. 이 패키지는 중국 회사에 제공된 합법적인 서명을 사용하여 애플리케이션의 외관을 인증합니다. 실행되면 배치 스크립트를 사용하여 기본 설정을 진행합니다. 

그런 다음 Visual Basic Script(VBScript)를 실행하여 언어 팩 호환성 문제에 대한 가짜 오류 메시지를 표시하는 동안 악성 명령이 백그라운드에서 실행됩니다. 

악성코드 된 변경 사항으로 인해 EndRAT(보안 연구원 Ovi Liber는 EndClient RAT이라고도 함)이라는 코드명이 부여되었습니다dent.

Genians는 Konni APT 공격자들이 AutoIt 스크립트를 사용하여 Remcos RAT 버전 7.0.4를 실행했다고 밝혔습니다. 이 버전은 2025년 9월 10일 유지 관리 그룹에 의해 공개되었습니다. 현재 해커들은 공격에 이 트로이목마의 최신 버전을 사용하고 있습니다. 2023년 Kimsuky가 사용했던 또 다른 트로이목마인 Quasar RAT와 RftRAT도 공격 대상 기기에서 발견되었습니다.

관련 기사:  AI 챗봇, 선거 관련 허위 정보 유포 (연구 결과)

한국의 한 사이버보안 업체는 "이는 해당 악성 소프트웨어가 한국을 겨냥한 작전에 맞춰 제작되었으며, 관련 데이터를 확보하고 심층 분석을 수행하려면 상당한 노력이 필요하다는 것을 시사한다"고 밝혔습니다

북한의 지원을 받는 해커들의 활동이 더욱 활발해지고 있다 

이번 공격은 북한 정부가 지원하는 김수키(Kimsuky) 및 APT 37 그룹과 연관된 코니(Konni) APT 캠페인의 후속 조치임이 defi합니다. 

동시에 ENKI는 라자루스 그룹이 스파이 활동의 ​​일환으로 특수 제작된 마이크로소프트 워드 문서를 미끼로 사용하여 국방 및 항공우주 기업을 공격하는 데 컴배커 악성코드의 업데이트된 버전을 사용했다고 밝혔습니다. 이들은 사람들을 속이기 위해 에어버스, 엣지 그룹, 인도 칸푸르 공과대학 소속인 것처럼 위장했습니다.

한편, 보도 의 Cryptopolitan김지나 외교부 제2차관은 북한의 만연한 암호화폐 범죄에 대해 제재를 검토 중이며, 미국과의 협력이 중요하다고 발표했습니다. 

암호화폐 뉴스를 단순히 읽는 데 그치지 마세요. 이해하세요. 저희 뉴스레터를 구독하세요. 무료입니다.

공유 링크:

면책 조항: 제공된 정보는 투자 조언이 아닙니다. Cryptopolitan이 페이지에 제공된 정보를 바탕으로 이루어진 투자에 대해 어떠한 책임도 지지 않습니다.trondentdentdentdentdentdentdentdent .

가장 많이 읽은 글

가장 많이 읽은 기사를 불러오는 중...

암호화폐 뉴스 최신 정보를 받아보세요. 매일 업데이트되는 소식을 이메일로 받아보실 수 있습니다

에디터 추천

에디터 추천 기사를 불러오는 중...
찾다
주요 섹션
팔로우하세요
지저귀다 인스타그램 링크드인 전보 페이스북 유튜브 레딧

- 당신을 앞서나가게 하는 암호화폐 뉴스레터 -

시장은 빠르게 움직입니다.

우리는 더 빠르게 움직입니다.

Cryptopolitan 데일리를 구독하고 시의적절하고 날카로우며 유용한 암호화폐 관련 정보를 이메일로 받아보세요.

  • 속보 및 규제 업데이트
  • 시장 동향에 대한 전문가 분석
  • 과장 없이, 중요한 사실만 전합니다

지금 가입하시면
어떤 움직임도 놓치지 않으실 수 있습니다.

뛰어드세요. 사실을 파악하세요.
앞서 나가세요.

CryptoPolitan 을 구독하세요