최근, 北과 연계된 공격자 SharpTongue는 크롬 기반 웹브라우저에서 악성 확장 프로그램을 사용해 피해자의 Gmail 및 AOL 이메일 계정을 염탐하고 있는 것으로 알려졌다. 사이버 보안업체인 Volexity社 연구원은 이번에 식별된 공격과 관련하여 공격자를 SharpTongue로 추적했으나, 이들의 공격작업은 사실 Kimsuky의 공격과 겹친다.
이들이 사용하는 공격 도구세트는 Huntress가 2021년에 발표한 보고서에서 자세히 설명되어 있는데, 지난 12개월 간 Volexity는 SharpTongue와 관련된 여러 보안 사고에 대응했으며 대부분의 경우 공격자는 “SHARPEXT”로 추적되는 구글 크롬 또는 마이크로소프트 엣지 확장 프로그램을 사용한 것으로 드러났다.
킴수키가 사용하는 다른 확장 프로그램과 달리 SHARPEXT는 사용자 이름과 비밀번호를 탈취하려하지 않고 피해자의 웹메일 계정을 탐색할 때 접근한다. 이 때 확장 프로그램은 세가지 웹 브라우저를 모두 지원하며 Gmail과 AOL 웹메일 모두에서 이메일 내용을 탈취할 수 있다.
구체적으로 보안연구원들은 “SHARPEXT는 SharpTongue가 배포한 악성 브라우저 확장 프로그램으로, Volexity가 분석한 SHARPTEXT의 첫 번재 버전에서 멀웨어는 구글 크롬만 지원했었는데 현재 최신 버전은(ver 3.0) 세 가지 브라우저를 모두 지원하는 것으로 알려졌다.
[출처 : SecurityAffairs / 7.31.]
