북한의 해커들이 구글의 'Find Hub' 도구를 악용하여 대상의 GPS 위치를 추적하고, 안드로이드 기기를 원격으로 공장 초기 설정으로 재설정하고 있습니다. 이 공격은 주로 한국인을 대상으로 하며, 가장 인기 있는 즉시 메시징 앱인 카카오톡 메신저를 통해 피해자에게 접근합니다. 한국의 사이버보안 솔루션 회사 Genians는 이 악의적인 활동을 KONNI 활동 군집에 연결시키며, 이는 "Kimsuky와 APT37과 목표와 인프라가 겹치는" 것으로 알려져 있습니다.
KONNI는 일반적으로 교육, 정부, 암호화폐 등 여러 분야를 대상으로 한 북한 해커들의 공격과 연결된 원격 접근 도구를 가리킵니다. Genians에 따르면, KONNI 캠페인은 원격 접근 트로이 목마를 통해 컴퓨터를 감염시키고, 민감한 데이터를 추출할 수 있게 합니다. 안드로이드 기기를 초기화하는 것은 피해자를 고립시키고, 공격 흔적을 삭제하며, 복구를 지연시키고, 보안 경고를 무시하는 데 사용됩니다. 특히, 이 초기화는 피해자를 카카오톡 PC 세션에서 연결 해제시키며, 공격자들은 이를 이용해 피해자의 연락처에게 확산시킵니다.
Genians의 보고서에 따르면, 공격자는 피해자의 구글 계정을 해킹하여 구글 'Find Hub'를 열고 등록된 안드로이드 기기를 검색하고 GPS 위치를 조회합니다. 'Find Hub'는 안드로이드의 기본 '내 기기 찾기' 도구로, 사용자가 원격으로 안드로이드 기기의 위치를 찾거나 잠그거나 심지어 잃어버리거나 도난당한 경우에 기기를 초기화할 수 있게 해줍니다. Genians의 포렌식 분석은 공격자가 'Find Hub'의 원격 초기화 명령을 통해 피해자의 기기를 초기화했다는 것을 밝혔습니다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.