Mandiant는 UNC2970으로 추적되는 북한과 연관된 것으로 의심되는 사이버 스파이 그룹의 사이버 스파이 활동을 자세히 설명하는 블로그 게시물을 발표했습니다. 이 그룹은 유명 기업의 채용 담당자를 가장하여 구직자를 가장하여 표적에 접근합니다.
제가 특히 흥미롭게 생각한 것은 UNC2970이 오픈 소스 PDF 리더인 SumatraPDF의 트로이 목마가 된 버전을 사용하고 있다는 것입니다. 이들은 SumatraPDF 자체의 취약점을 악용하는 것이 아니라 맬웨어를 배포하기 위해 코드를 수정하고 있습니다.
이러한 기법은 소프트웨어 공급망으로 인해 발생하는 위협이 증가하고 있음을 보여줍니다. 오픈 소스 소프트웨어를 사용하는 경우에도 주의를 기울이고 소프트웨어 소스의 무결성을 확보하는 것이 중요합니다.
또한 암호화된 PDF 파일로 피해자를 유인하고 MISTPEN 백도어를 배포할 때까지 감염 체인에 대한 Mandiant의 자세한 분석에 깊은 인상을 받았습니다.
이 분석은 보안 연구원과 방어자가 UNC2970의 전술, 기술 및 절차(TTP)를 더 잘 이해하고 이 그룹에 대한 방어를 개선하는 데 귀중한 통찰력을 제공합니다.
침해 지표(IOC) 및 탐지 및 대응을 위한 YARA 규칙을 포함한 전체 분석을 보려면 Mandiant의 블로그 게시물을 읽어 보시기 바랍니다.
