금융제재와 자금세탁, 물자 반출등 악의적인 행위는 다하는 북한이 청년들을 위로하네 ㅋㅋㅋㅋㅋㅋㅋㅋㅋ

‘영끌(영혼까지 끌어 모음)’, 빚투(빚내서 투자함), 벼락거지(벼락부자의 반대말로 상대적으로 빈곤해짐)’ 아재들 보다더 

관심이 많고, 신조어에 능통한 북한 양반들 ㅋㅋㅋㅋㅋ 자국민 관리나 잘하세요 ~ ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ 

제2의 고난의 행군 따위 같은 멍멍이소리 말고 ㅋㅋㅋㅋㅋㅋㅋㅋ포항항 ㅋㅋㅋ

함경북도의 한 주민소식통은 5일 “오늘 청진시 각 구역에서 인민반 가두여성(주부)들을 대상으로 한 8차당대회 학습토론회가 진행되었다”면서 “그런데 학습토론을 주관하는 강연자가 ‘우리의 경제적 어려움은 이제 시작에 불과하다’는 발언을 하면서 주민들이 충격을 받았다”고 자유아시아방송에 밝혔다

소식통은 이어서 “8차당대회 학습토론회를 계기로 요즘 도내 주민들 속에서 제2의 고난의 행군이 눈앞에 닥쳤다는 말이 공공연히 나오고 있다”면서 “당국이 겉으로는 당대회에서 결정한 경제발전5개년계획이 완성되면 모든 게 안정될 것이라고 주장하지만 현재의 경제난국이 1990년대의 고난의 행군 시기보다 더 어렵다는 사실을 숨기지 않고 있어 주민들의 불안감이 증폭되고 있다”고 강조했다.

www.rfa.org/korean/in_focus/ne-je-04072021083441.html

www.nkeconomy.com/news/articleView.html?idxno=4163

북한 해커들이 적극적으로 컴퓨터 해킹 정보공유 및 국제대회 사이트인 ‘코드쉐프’(CodeChef), ‘해커랭크’(hackerrank) 등에 가입하고,

국제대회를 통해 해킹에 필요한 정보와 기술을 습득해 사이버 공격을 벌이고 있다.

실제 ‘코드쉐프’에 북한 국적자 최소 24명 이상, 그리고 ‘해커랭크’에 최소 5명 이상이 가입한 것으로 확인됐으며,

사이버 공격에 필요한 ‘코딩’ 정보를 공유하고 습득하는 것으로 나타났다.

북한 가입자들은 ‘룡남산’(Ryongnamsan)을 의미하는 ‘rns’나 김책공업종합대학(Kim Chaek University of Technology)의 영문 약자인 ‘kut’가 포함된 계정 아이디를 만들고, 국적을 북한이라고 밝히고 있다.

Indicators of Compromise (IoCs)

Samples

SHA-1FilenameESET detection nameDescription

Filenames

%WINDIR%\System32\powerctl.exe
%WINDIR%\SysWOW64\powerctl.exe
%WINDIR%\System32\power.dat
%WINDIR%\SysWOW64\power.dat

%WINDIR%\System32\wwanauth.dll
%WINDIR%\SysWOW64\wwanauth.dll
%WINDIR%\System32\wwansec.dll
%WINDIR%\SysWOW64\wwansec.dll
%WINDIR%\System32\powerctl.dll
%WINDIR%\SysWOW64\powerctl.dll

%WINDIR%\System32\JET76C5.tmp
%WINDIR%\SysWOW64\JET76C5.tmp
%WINDIR%\System32\msobjs.drx
%WINDIR%\SysWOW64\msobjs.drx

MITRE ATT&CK techniques

This table was built using version 8 of the MITRE ATT&CK framework.

Tactic  ID  Name  Description  

관련 레퍼선스 

www.rfa.org/korean/in_focus/nkhacking-04092021154624.html

https://www.bleepingcomputer.com/news/security/north-korean-hackers-use-new-vyveva-malware-to-attack-freighters/

www.welivesecurity.com/2021/04/08/are-you-afreight-dark-watch-out-vyveva-new-lazarus-backdoor/

blog.alyac.co.kr/3691

- 미국은 2015년 법 제정해 해킹 피해사실과 수법, 예방조치 공개하고 있어

- 미 법무부가 기소한 北해커 사건 역시 배후와 수법 신속하게 공개해 추가 피해 막아

- 국정원, 북한 포함한 해킹 매일 158만건 발생한다 보고하고도 해킹수법은 공개 거부

① 美 포함 전 세계 대상 해킹 공격의 배후는 “북한 정부”

“이 합동기술경보(joint Technical Alert)는 미국 국토안보부(Department of Homeland Security, DHS)와 연방수사국(Federal Bureau of Investigation, FBI)의 공동 분석 노력의 결과이다.

이 경보는 북한 정부의 사이버 행위자가 미국과 전 세계의 언론, 항공우주, 금융 및 핵심 인프라 산업을 공략하기 위해 사용하는 도구와 인프라에 대한 기술적 세부사항을 제공한다.”

② 北이 범죄에 사용한 해킹수법 공개

“국토안보부와 연방수사국은 네트워크 방어 활동을 활성화하고 디도스 명령 및 제어 네트워크에 노출되는 상황을 줄이기 위해 북한 사이버 작전에 이용되는 IP 주소를 공개한다.”

③ 北해킹범죄조직의 그간 활동 동향과 향후 행보 평가

“2009년 이후 히든 코브라 행위자들은 기술 역량을 이용해 다양한 공격 대상에게 피해를 입혔다. 상업 기관의 보고서에서는 이 활동을 라자루스 그룹(Lazarus Group)과 평화의 수호자(Guardians of Peace)라는 명칭으로 언급했다.

국토안보부와 연방수사국은 히든 코브라 행위자들이 북한 정부의 군사적․전략적 목표를 진전시키기 위해 사이버 작전을 계속 수행할 것이라고 평가한다.”

□ 하의원이 18일 ‘해킹피해 예방을 위한 북한 등 해킹수법 정보공개법’을 발의했다. 北해킹정보공개법은 국가정보원법을 개정한 것으로 북한 등의 해킹범죄 수법과 예방대책 등의 정보를 국회와 국민에 의무적으로 공개토록 하는 내용을 담고 있다.

□ 이 법은 2015년 제정된 미국 「사이버안보 정보공유법」의 실제 적용 사례에서 모티브를 얻었다. 미국은 법 제정 이후 정부부처 간 합동경보를 발령하거나 보고서를 작성하는 형식으로 해킹범죄 수법과 예방조치를 적시에 국민들에게 공개하고 있다.

□ 최근 미 법무부가 전 세계 은행을 대상으로 1조4천여억원을 탈취한 혐의로 북한 해커 3명을 기소한 해킹범죄 역시 지난 2017년 6월 범죄 배후와 수법이 공개된 바 있다. 당시 미 국토안보부는 FBI와 공동으로 경보를 발령하고 북한의 해킹 조직 히든코브라를 배후로 지목했다. 북한이 슬로베니아 가상화폐거래소와 세계 각국 은행을 대상으로 해킹범죄를 감행하고 한 달 가량 된 시점이었다. 또 같은 수법으로 인한 피해가 발생하지 않도록 범죄에 사용된 IP주소와 악성코드 분석 보고서를 공개하기도 했다. [참조 1]

□ 미국은 이 경보 보고서에서 해킹 조직이 북한 정부의 군사, 전략적 목표 진전을 위해 작전을 계속 수행할 것이라고 평가하고 지속적인 추적에 나섰다. 그 결과 2017년 12월에는 호주, 캐나다, 뉴질랜드, 영국과 함께 해당 해킹범죄의 배후 국가로 북한을 공식 지목, 규탄했다.

□ 지난 16일 국가정보원도 국회 정보위원회에서 우리나라 공공부문에 대한 북한 등의 해킹공격이 하루 158만건에 달하며 이는 전년 대비 32% 증가한 수치라고 보고했다. 이미 셀트리온 등 국내 제약회사와 업비트 등 암호화폐 거래소에 대한 해킹공격이 북한의 소행으로 확인되기도 했다. 하지만 원은 외부세력의 구체적인 해킹수법 공개를 거부하고 특히 화이자 공격 등 북한의 명백한 해킹 사실에 대해서는 사실관계조차 확인해주지 않고 있다.

□ 하의원은 “해킹피해 예방을 위해서는 해킹수법과 방지대책 등을 적시에 공개하는 것이 최선”인데도 “우리나라 사이버 안보를 총괄하는 국정원은 그 책임을 회피하고 북한 해킹 관련 정보를 숨기는 데만 급급하다”고 지적했다. 이어 “북한 등 외부세력의 해킹정보가 낱낱이 공개된다면 범죄피해를 예방하고 국민의 안전과 재산을 지키는데 큰 도움이 될 것”이라며 법안 발의 배경을 설명했다.

https://blogattach.naver.net/148108bbaff3f02c00e780b58f64176cca9d6589fd/20210219_88_blogfile/radiohaha_1613692084606_6hIv4a_hwp/%5B%BA%B8%B5%B5%C0%DA%B7%E1_210219%5D%20%C7%CF%C5%C2%B0%E6,%20%A1%B0%C7%D8%C5%B7%C7%C7%C7%D8%20%BF%B9%B9%E6%C0%A7%C7%D1%20%B1%B9%C1%A4%BF%F8%20%C1%A4%BA%B8%B0%F8%C0%AF%20%C0%C7%B9%AB%C8%AD%C7%D1%B4%D9%A1%A6%20%DD%C1%C7%D8%C5%B7%C1%A4%BA%B8%B0%F8%B0%B3%B9%FD%20%B9%DF%C0%C7%A1%B1.hwp?type=attachment

“해킹피해 예방위한 국정원 정보공유 의무화한다… 北해킹정보공개법 발의 하태경의원실 보도자료 

[참조 1] 美기소 북한해커의 범죄의 배후‧수법 공개한 2017.6.13. 합동경보 보고서

[참조 2] ‘해킹피해 예방을 위한 북한 등 해킹수법 정보공개법’(국가정보원법 개정안) 원문과 공동발의 의원 명단

[참조 1] 美기소 북한해커의 범죄의 배후‧수법 공개한 2017.6.13. 합동경보 보고서

- 美 국토안보부 산하 사이버안보기간시설안보국(CISA) 홈페이지

북한의 공작원들은 마치 외국 보안 전문가처럼 행세하면서 위장전술을 수행하고 있습니다.

구글 위협분석그룹(TAG)은 “지난 3월 17일, 이 공격 배후에 있는 동일한 위협 행위자가 SecuriElite이라는 가짜 회사 관련 소셜 미디어 프로필이 있는 웹 사이트를 구축했다. 새 웹 사이트에서는 해당 회사가 터키에 위치한 오펜시브 보안 회사로, 침투 테스트, 소프트웨어 보안 평가 및 익스플로잇을 제공한다고 설명하며, 웹 페이지 하단에 PGP 공개키에 대한 링크가 있다. 1월, 이들 공격자는 블로그에 호스팅된 PGP키를 브라우저 익스플로잇 트리거에 사용되는 사이트를 방문하도록 유인하는데 사용했다."

사이트는 아직 악성코드를 전달하기 위한 익스플로잇을 호스팅하지 않았으나, TAG 연구원들은 예방책으로 해당 웹사이트를 구글 세이프브라우징에 추가했다.

- 관련 레퍼런스
https://blog.google/threat-analysis-group/update-campaign-targeting-security-researchers/

https://www.dailysecu.com/news/articleView.html?idxno=122606

Actor controlled sites and accounts

Fake Security Company Website:

www.securielite[.]com

Twitter Profiles:

https://twitter.com/alexjoe9983

https://twitter.com/BenH3mmings

https://twitter.com/chape2002

https://twitter.com/julia0235

https://twitter.com/lookworld0821

https://twitter.com/osm4nd

https://twitter.com/seb_lazar

https://twitter.com/securielite

LinkedIn Profiles:

SecuriElite - https://www.linkedin.com/company/securielite/

Carter Edwards, HR Director @ Trend Macro - https://www.linkedin.com/in/carter-edwards-a99138204/

Colton Perry, Security Researcher - https://www.linkedin.com/in/colton-perry-6a8059204/

Evely Burton, Technical Recruiter @ Malwarebytes - https://www.linkedin.com/in/evely-burton-204b29207/

Osman Demir, CEO @ SecuriElite - https://www.linkedin.com/in/osman-demir-307520209/

Piper Webster, Security Researcher - https://www.linkedin.com/in/piper-webster-192676203/

Sebastian Lazarescue, Security Researcher @ SecuriElite - https://www.linkedin.com/in/sebastian-lazarescue-456840209/

Email:

contact@securielite.com

osman@securielite.com

submit@securielite.com

Attacker Owned Domains:

bestwing[.]org

codebiogblog[.]com

coldpacific[.]com

cutesaucepuppy[.]com

devguardmap[.]org

hireproplus[.]com

hotelboard[.]org

mediterraneanroom[.]org

redeastbay[.]com

regclassboard[.]com

securielite[.]com

spotchannel02[.]com

wileprefgurad[.]net

-----BEGIN PGP PUBLIC KEY BLOCK----- xsJuBGBQHSsRCADiEMSXO47vXwCG9lnGrRK4dA6/S0QT9KTHSjyqB9pTtuomXsFVrO39mCdp1i37 qspaNtj+GIMD7iIMH9YQd8MYYMpXpGDvv2XLdX3zHg+Fatz4GEggLwPy3mk7IT9/aOipS5uuVTve qAYgbMCo6krBUzwUi1h4Sc4w6Prgq87H9j/lc2WPPNjkHlO8pIRDqvlt5WaiTsff0bDwG+J1dRqr eGk0+K1jyLRWD+RII0OhtaImFj/CNRkt/M+Uh8C/hd8e9POHZCQpriloY+g9N95F5cMpn7NGTyYV pbjbHHjEjpoStRIaFszNOzu/erPF11bHsFhYfpq+xVy15xfaiGPDAQC5DwmKa7FmMjXNmKZ1lYV1 ZZtnOBKLUek5ikaleZkamwgAulL2/ytE0YgsUNo2BX5Xz85qnLphhPrtkGwL/5lTTfpCMyLGPpT5 GJCA1Ilyp/LmLkPQYf2T4asIcnYGU9qHZMWoWXPO+UNPj7e7SEivZ5lNuXSHS1zbEnCt8iMNnGMr KnIdK++HacOWWkr87JV0s1i/7FX5zZIcz43uGYvXsRQcbEQienCGOV+0re4Y1jh2imnZ8ucYQtgH Ja1Txv3pLoLiQm4nVciAuu0x1wX0NwtXx6Axu5noCz3Slbd+T436IDIiLftfEZ/KkygNcnIh8lNc Y2S1F8UpImvLhbeCCHPaqOGdFQpgsublMRo7SqkPet6vw+c920HsjzeSdDWNKQgAuE5HMHlhtqZp JaLv4nKL+G6NGesB4ot9EKJ0+bIf93c/NZNMt9PPy+GukDYOABCSW93kdlDLhGxlyB3k/D2ZQ+6V N/DHjGKsL7n3JAjv5h1+dOFtSaP89og1Nj9qDuS7l1k/qZgi+mRHdXjVCNzN/IOSkSPsklq0HXLy QLdzLsKYkKDzojsHdrOGM5VbOMqOoKhRqT0+H5lRgteBc4iaH2X0wtuuxvCM5aiJ55BE23Q+nFDH mLff0UO5A3WkVDJdwSuvk38hTCG6cpoU1Pt3pJgpfMvVXEgeS9b7QjaJ4Gk37kevPdq8lJkUsi4X NZtySXlSdwTlfei93I6on/Uep80lU0VDVVJJRUxJVEUgPGNvbnRhY3RAc2VjdXJpZWxpdGUuY29t PsKQBBMRCAA4FiEEwxBb+cY+8QHlPYzPabPttiObqkcFAmBQHSsCGwMFCwkIBwIGFQoJCAsCBBYC AwECHgECF4AACgkQabPttiObqkdP+gEAsjkVFQBrP2y+S5RwRqYIr2/VMGIkyv9Kh70AzX4A+o0B AKnW2cqdDr5Y5LA8hyQL8jH+iySAV85Feb2zMJnS6bgdzsNNBGBQHSsQEADz/1/bxHICtLRNgwaP 9SahzSXot297+5jxACSrUQq+yfVOfaE9+fRceiBhpYlKGKlsvqDwG/wQJSo315fvtgftrdjUrYu/ tMAjA2L6pWgw6sVr5UgEF0dPcidyraVV2gyisWvKEGek9yqjnhr7P6Z4SP9SuV4hfLYtmE+aSHxp 7Y1LWRqWSUhM6cbUNN5qa00pnGN1YzrduuyBB2Kv7F504Wua/rkIp7kGpbps6OkUsCPWEhfhN8vY pORJcutYBqJ5pqi6Yy97Tm1jtTWcrr+F+DHe6p55OVCPMh29ZXIDsgut9XE+PhIHKSeViaL8ZGvl G+PEOVsYrZC0tl1HfDDhh3sIy0z3Yy+IEBsvOycLOQJAD978c/xY/5GKglyi0wrUqah/rrZOii3m XCHWyGWTXcEA5TXHe5g+GsW+2SOjWjd0ojqhMlqPnfjv0aweY95p0HRO68nlIlpS2vg3Mx1ZJpXk vPL9K7zQyt6Zg3ZDmAlWSTkPJoGBRHvYozSg03yrDKY7EG6/Fn9LA6RxzMQFNLiGZjuFPv/ZJVXE DbN0MoY4QEUUkJ6P+2lRJ0GoK/46z5K02XF9cWTwPvVmHw6yCAS5amEtSPWrP9Fdovkar+diwqwy aT8O6gkso8BsmSmDBjbi3reT/B9fZmGklhauC04C5hMYDamyDeid56i6swADBhAAu+SspV9y0H7N hdEDAtHBAMMkyw9o1m/BEbHgvuwDjiV0hc7aE5OTcXBSO2qeFUwZzZbYEst1fmd2y0nBDPLns9aL kMPmF0TR78QbDFGXrGoXijAYHpyIsdGvhYqrzCvocMIa0Ty6BIcNTzzBZsj5FWETeFmMZgnN4//b q2xPlcUqLHner9YnP0vqBcTyPYqmOIn2xaBeZta9f4xwlb8BgAgVFhOsX4iebiBfI0+0cEa/sU64 MOCo4Uk18IN+kTzAEOAA0Ix6uJpI9zVYkSDAxxjKDXxBAQ5WYy4ri4yE30l1wOQAnXR5KQ1mi7Xq uqM2y+D3ZKIQcglsHE7LtsgBTElzNIk5yFMZFpV7+csT06cdgST4GBPi6rP7Ezxeot5ndJ68rnNn zFWkW5RfYUNjvvskMa6Ojck8dbHdFYKvQzEjXL9CkqgoInxhXN+EdpVT8Vz1oeVCXy09tNiyMrDJ aKbOVbuPXMt+CFAp1590MEVVAWnkNKOSVyaWKOeDtT6lXkgPCQ97T+rl620g+7zZov+DZrGzqepP 3kUow6G6S6bFASyIaBlL4u98odrXieEGB+CTcmsF/ha1+9dzEbHA3bbZRBi342mL6m6n0W1XAje2 lzSo/xl6h8yz8tQYTha9XTvzFdfY2psXD2mbx9Vysqbyy1zGRbV6LR8A6IcDQvjCeAQYEQgAIBYh BMMQW/nGPvEB5T2Mz2mz7bYjm6pHBQJgUB0rAhsMAAoJEGmz7bYjm6pHYNMA/1z/r9sTWiUd7apE kNy3oHhMHs3v2Hi2RjV2+k7GvOpJAQCzo/P1JdBeAb3aUmkECLvrYDf95YJ82459WrYf51tADA== =3MCM -----END PGP PUBLIC KEY BLOCK-----

[참고] 다크웹에 공개된 랜섬웨어 피해 조직 목록

- bit.ly/2YwotlM. I DarkTracer