[240107 보안뉴스 요약] 북한 김수키 해킹그룹의 유형별 스피어피싱 공격사례 분석해 보니

북한 김수키 해킹그룹의 유형별 스피어피싱 공격사례 분석해 보니

http://www.boannews.com/media/view.asp?idx=125415

김영명 기자(boan@boannews.com)

 

---

 

북한의 해킹그룹 김수키(Kimsuky) 의 주요 공격사례

 

투-트랙 (Two Track) 스피어피싱 공격

첫 이메일에 반응한 수신자를 공격한다.

 

외교부 및 통일부, KISA 사칭해 피싱 공격

아기상어 (BabyShark) 공격 툴킷 활용 정황 포착

‘컴파일된 HTML 도움말 파일(.chm)’과 ‘바로가기(.lnk)’ 유형이 사용

일부 공격은 HTML 파일 내부에 압축파일을 임베디드로 넣는 수법이 사용됨

 

공격자들이 다양한 종류의 파일을 실전 공격에 사용했으며 *TTPs 측면에서 공통 패턴이 다수 관측된다.

*TTPs: Tactics, Techniques, Procedures. 공격자가 임무를 완수하기까지의 전체 프로세스

 

위협 행위자가 북한식 단어 표기법을 사용하는 등 신분 노출에 영향을 미치는 표현 실수와 흔적이 존재

 

---

스피어피싱 공격 메일에 첨부됐던 ‘북의 핵위협 양상과 한국의 대응방향.alz’ 파일

- 알집(ALZ) 포맷 압축파일

- ‘북의 핵위협 양상과 한국의 대응방향.chm’ 포함됨

- 컴퓨터 부팅 시마다 작동하도록 구성됐다.

- 악성 명령이 포함된 ‘desktops.ini’ 파일을 호출하기 위해 시스템 경로의 ‘cscript.exe’ 파일을 선언

- 명령제어(C&C) 서버와 통신되면 컴퓨터 시스템 정보, 프로세스 리스트, 다운로드 폴더 정보 등을 수집해 조건에 따라 ‘Info.txt’ 파일로 전송을 시도함

 

공격자는 미끼용 정상 HWP 문서파일과 폴더 옵션 확장자 숨김 디폴트 설정에 따라 마치 HWP 파일처럼 보이게 만든 이중 확장자의 LNK 악성 파일을 공격 전략으로 사용했다.

김수키 그룹의 APT 캠페인별 코드를 볼 때 2022년 하반기에는 주로 DOC 유형의 악성파일이 활용됐으며, 2023년에는 CHM 유형의 악성파일이 유사한 코드 형태로 발견됐다.

 

---

지니언스 시큐리티센터 문종현 이사

“국가 연계 위협 행위자들은 국내외 많은 웹 서버를 불법 침투하거나 직접 구축해 또 다른 공격 거점으로 악용하기 때문에, 사이버 위협 분야에서 신속한 민·관 협력은 무엇보다 중요하다”

“최신 사이버 위협 동향을 숙지하고, 보안 교육과 시스템의 개선도 요구된다”

“한국은 은밀한 북한발 해킹 공격이 지속되고 있으며, 특히 비실행형 악성 파일이 전략적으로 활용 중이기 때문에 이메일, SNS 등을 통해 내려받은 파일은 실행할 때 주의해야 한다”