북한과 연계된 TAG-71, 아시아와 미국의 금융 기관을 스푸핑하다
Insikt Group은 일본, 베트남, 미국의 여러 금융 기관과 벤처 캐피탈 회사를 사칭하는 악성 사이버 위협 활동을 발견했습니다. 위협 활동 그룹 71(TAG-71)로 불리는 이 그룹은 북한이 국가적으로 후원하는 APT38과 상당 부분 겹치는 부분이 있습니다. 인식트 그룹은 2022년 9월부터 2023년 3월까지 태그-71의 활동과 관련된 74개의 도메인과 6개의 악성 파일을 발견했습니다.
TAG-71은 이전에 일본, 대만, 미국의 금융 회사 및 클라우드 서비스 소유의 도메인을 스푸핑하는 것이 관찰된 바 있습니다. 인식트 그룹은 2022년 3월에 태그-71과 연결된 18개의 악성 서버를 확인했으며, 이 서버들은 공개적으로 보고된 크립토코어 캠페인과도 연결되어 있습니다. 이러한 서버는 멀웨어 전달, 피싱, 명령 및 제어 작업에 사용되었으며, 종종 인기 있는 클라우드 서비스 및 암호화폐 거래소를 사칭했습니다.
북한 정부는 전 세계의 암호화폐 거래소, 상업 은행, 전자 상거래 결제 시스템을 대상으로 금전적 동기를 가진 침입 캠페인을 벌인 전력이 있습니다. TAG-71의 최근 활동은 이러한 패턴과 일치하며, 북한이 국제 제재를 받으면서도 자금을 창출하기 위한 노력을 지속하고 있음을 보여줍니다. 투자 은행 및 벤처 캐피탈 회사의 스푸핑은 민감한 정보 노출, 법적 결과, 협상 중단, 전략적 투자 포트폴리오 손상 등의 위험을 초래할 수 있습니다.
기록된 미래 인텔리전스 클라우드의 다이아몬드 침입 분석 모델에 매핑된 TAG-71에 대한 IOC를 선택하세요.
인식트 그룹은 TAG-71의 활동을 완화하기 위해 침입 탐지 시스템을 구성하여 그룹과 관련된 IP 주소 및 도메인에 대한 연결을 차단할 것을 권장합니다. 인식트 그룹의 모회사인 레코디드 퓨처의 고객도 명령 및 제어 보안 제어 피드에 로그인한 명령 및 제어 서버를 차단해야 합니다. 또한 조직은 직원과 고객이 피싱 시도, 의심스러운 도메인 및 사기성 문서를 인식할 수 있도록 보안 인식을 강화해야 합니다. 레코디드 퓨처의 브랜드 인텔리전스 모듈을 통해 도메인 남용을 모니터링하고 사기성 도메인의 삭제를 시작하는 것도 좋습니다.
전반적으로 TAG-71의 캠페인은 북한의 국가 지원 위협 행위자들의 과거 활동과 일치하며, 금융 및 투자 회사와 그 고객들에게 위험을 초래합니다. 권장되는 완화 조치를 구현하면 이러한 악의적인 활동으로부터 조직을 보호하는 데 도움이 될 수 있습니다.
각주가 포함된 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.
관련