북한의 사이버 해킹 그룹 김수키(Kimsuky)가 민감한 정보를 탈취하기 위해 새로운 악성 구글 크롬 (Google Chrome) 확장 프로그램을 사용하고 있는 것으로 밝혀졌다. 이 확장 프로그램은 주로 북한 정치 문제를 연구하는 남한 학계를 대상으로 한 정보 수집 활동의 일환으로 사용되고 있다.
◆TRANSLATEXT, 새로운 사이버 스파이 도구
지스캐일러 쓰렛랩즈(Zscaler ThreatLabz)는 지난 3월 초에 이 악성 활동을 관찰했다. TRANSLATEXT라는 이름의 이 확장 프로그램은 이메일 주소, 사용자 이름, 비밀번호, 쿠키, 브라우저 스크린샷을 수집하는 기능을 가지고 있다. 구글 번역 확장 프로그램으로 위장하여 탐지를 피하고 있으며, 구글, 카카오, 네이버 등의 보안 조치를 우회하는 자바스크립트 코드를 사용해 이메일 주소와 자격 증명을 탈취하고, 탈취한 데이터를 외부로 유출하는 것으로 알려졌다.
김수키의 이번 캠페인은 한국 군사 역사에 대한 정보를 포함한 ZIP 파일로 시작된다. 이 파일에는 한글 워드 프로세서 문서와 실행 파일이 포함되어 있다. 실행 파일을 실행하면 공격자 서버에서 파워쉘 스크립트를 다운로드하며, 이는 피해자 정보를 깃허브 저장소로 내보내는 역할을 한다. 이러한 초기 접근 방식은 김수키의 기존 전술인 스피어 피싱 및 사회 공학 공격과 일치한다.
TRANSLATEXT 외에도 김수키는 최근에 마이크로소프트 오피스의 알려진 보안 취약점(CVE-2017-11882)을 악용해 키로거를 배포하고, 항공우주 및 방위 부문을 겨냥한 취업 테마 미끼를 사용해 데이터 수집 및 2차 페이로드 실행 기능을 가진 스파이 도구를 배포했다. 사이버 보안 회사 사이버알모어(CyberArmor)는 이 공격에 사용된 백도어를 Niki라고 명명했으며, 공격자가 정찰을 수행하고 감염된 기계를 원격으로 제어할 수 있도록 한다고 밝혔다.
APT43, ARCHIPELAGO, Velvet Chollima 등 다양한 이름으로 알려진 김수키는 최소한 2012년부터 활동해왔다. 이 그룹은 북한의 정찰총국(RGB)과 관련이 있으며, 사이버 스파이 및 외화벌이 목적 공격으로 한국 기관을 대상으로 해왔다. 이들의 최근 활동은 악성코드 사용과 잘 알려진 취약점 악용을 통해 목표를 달성하는 전술의 지속적인 진화를 보여준다.
김수키가 악성 크롬 확장 프로그램을 사용해 사이버 스파이 캠페인을 수행한 것은 그들의 적응력과 민감한 목표에 대한 지속적인 위협을 반영한다. 사회 공학과 알려진 취약점을 활용해, 이 그룹은 남한 학계 및 기타 중요한 부문에 상당한 위험을 초래하고 있어 각별히 주의를 기울여야 한다.