2021-06-24 09:10 (목)
北 김수키 해킹조직, 한국 KISA·외교부·서울대 등 해킹 공격시도
상태바
北 김수키 해킹조직, 한국 KISA·외교부·서울대 등 해킹 공격시도
  • 페소아 기자
  • 승인 2021.06.09 13:29
이 기사를 공유합니다

멀웨어바이츠 “김수키 조직, 윈도우 사용자와 안드로이드 사용자 대상 백도어 공격”

2012년부터 활동중인 북한의 위협 행위자가 민감한 정보 수집 목적으로 안드로이드 및 윈도우 백도어를 설치하기 위해 남한의 공무원들을 대상으로 하는 새로운 간첩 캠페인을 진행한 것으로 드러났다.

더해커뉴스 보도에 따르면, 사이버 보안 기업 멀웨어바이츠(Malwarebytes)가 한국의 KISA(Korea Internet and Security Agency), 외교부, 스리랑카 대사관, 국제 원자력 기구 홍콩 총영사관, 서울대학교, 증권사의 소속원들을 대상으로 김수키로 추정되는 해킹그룹이 공격을 시도했다고 설명했다.

이 공격은 한국을 겨냥한 일련의 스파이 감시 활동 중 가장 최근에 발생한 것이다. 북한 정권을 대신해 활동하고 있는 것으로 보이는 킴수키(일명 Velvet Chollima, Black Banshee, Thallium)는 한국 단체를 타깃으로 하는 동시에 미국, 러시아 및 유럽의 여러 국가로 피해자를 확대한 전적을 가지고 있다.

지난 11월 공격자는 대상 네트워크를 정찰하고 키 입력을 기록하며 기밀 정보를 훔치는 “KGH_SPY”라는 새로운 모듈식 스파이웨어 제품군에 연결될 뿐만 아니라 “CSPY 다운로더"라는 이름의 분석을 방해하고 추가 페이로드를 다운로드 받는 은밀한 멀웨어와도 연결되어 있다.

김수키의 공격 인프라는 피해자가 자격 증명을 입력하도록 속이기 위해 지메일, 마이크로소프트 아웃룩, 텔레그램과 같이 잘 알려진 웹사이트를 모방한 다양한 피싱 웹사이트로 구성된다. 멀웨어바이츠 연구원인 호세인 하지(Hossein Jazi)는 “ 공격자가 나중에 스피어 피싱 이메일을 보내는데 사용될 이메일 주소를 수집하기 위해 사용되는 주요 방법 중 하나"라고 말했다.

사회 공학을 운영의 핵심 요소로 사용하여 이메일에 첨부된 zip 아카이브 파일 형식을 취하는 멀웨어 드롭퍼를 배포해 궁극적으로 백도어인 AppleSeed라는 인코딩된 DLL 페이로드를 배포한다. AppleSeed는 이르면 2019년부터 김수키가 사용하기 시작한 백도어다.

하지는 "윈도우 사용자를 대상으로 AppleSeed 백도어를 사용하는 것 외에도 안드로이드 사용자를 대상으로 안드로이드 백도어를 사용했다. 안드로이드 백도어는 AppleSeed 백도어의 모바일 변형으로 간주될 수 있다. 윈도우 백도어와 동일한 명령 패턴을 사용하며 동일한 인프라를 사용했다."고 설명한다.

AppleSeed는 키 입력을 기록하고, 스크린 샷을 캡처하고, 특정 확장자(txt, ppt, hwp, pdf, doc)가 있는 문서를 수집하고 이동식 미디어 장치에서 데이터를 수집해 머신에 연결하고 원격 명령 및 제어 서버에 업로드하는 일반적인 백도어의 모든 특징을 가지고 있다.

무엇보다 가장 흥미로운 발견은 위협 행위자가 멀웨어 소스 코드에서 자신을 Thallium이라고 명명한다는 것이다.이 코드는 화학 요소를 따라 국가별 해킹 그룹을 명명하는 전통에 따라 마이크로소프트에서 할당한 이름이다.

★정보보안 대표 미디어 데일리시큐!★