김수키 페블대시 및 애플시드 하이브리드 기술 분석 보고서 발표
러스트 기반 헬로도어 내부 이모지 로그 발견... LLM 악용 기정사실화
VS코드 원격 터널 및 DW에이전트 전용해 침투 유지하고 GPKI 겨냥
[보안뉴스 조재호 기자] 북한 배후 해킹 그룹 ‘김수키’(Kimsuky)가 AI와 최신 프로그래밍 언어를 결합한 하이브리드 공격으로 국가 안보의 근간을 뒤흔들고 있다. 이들은 초거대언어모델(LLM)을 활용해 신규 백도어를 자체 제작하고, 공무원 디지털 신분증인 전자인증서(GPKI)를 무차별 수집하는 자동화 모듈을 운용한다.
[출처: gettyimagesbank]
카스퍼스키는 14일 북한 배후 APT 그룹 김수키의 최신 공격 캠페인에 대한 심층 기술 분석 보고서를 발표했다.
이 보고서는 마이크로소프트(MS)에서 ‘루비슬릿’(Ruby Sleet)으로, 맨디언트가 ‘세리움’(Cerium, 또는 APT43)으로 명명한 김수키의 최근 활동 클러스터를 분석, 이들이 주력으로 사용하는 악성코드인 페블대시(PebbleDash)와 애플시드(AppleSeed) 간 기술적 연결 고리를 입증했다.
연구진은 단일 그룹이 필요에 따라 두 클러스트를 함께 운용한다고 판단했다. 두 클러스터가 멀티스레딩 환경에서 공유 자원에 하나의 스레드만 접근하도록 하는 뮤텍스 패턴이 같고, 같은 도용 인증서로 서명된 점을 포착했기 때문이다.
가장 우려되는 대목은 국가 기반 인프라를 향한 노골적, 직접적 타격이다. 김수키 핵심 도구인 ‘애플시드’(AppleSeed)는 2022년부터 공무원들이 사용하는 정부 공인 전자인증서(GPKI) 디렉토리(C:\GPKI)를 집중적으로 수집하는 기능이 기본 탑재됐다. 이는 정부부처 관계자들의 디지털 신분증으로 핵심 권한 자산이다. 또 이들의 표적이 국내 방위산업과 군, 정부를 넘어 2020년대 들어 방산 생태계 전반으로 확대되고 있음이 확인됐다.
기술적 측면에서는 ‘정상 도구의 무기화’(Weaponization)와 융합 전술의 고도화가 진행됐다. 김수키는 MS 소스 코드 편집기 비주얼 스튜디오 코드(VSCode)의 원격 터널링(Remote Tunneling) 기능과 클라우드플레어 퀵 터널(Cloudflare Quick Tunnels)을 악용해 시스템 침투 후 백도어 통로를 확보했다. 오픈소스 원격 관리 도구 DW에이전트(DWAgent)를 피해자 PC에 설치해 사후 침투(Post-Exploitation) 활동을 지속하는 등 시스템 내 정상 소프트웨어를 악용하는 ‘자급자족형’(Living off the Land) 전술로 백신 프로그램의 탐지를 사실상 무력화하는 것으로 나타났다.
악성코드 개발 단계에서 AI를 악용한 정황도 확인됐다. 김수키 공격 캠페인에서 처음으로 러스트(Rust) 프로그래밍 언어로 작성된 신규 백도어 헬로도어(HelloDoor)를 발견했다. 코드 내부 주석에서 문법 오류와 함께 생성형 AI 활용 결과물의 특징인 이모지(Emoji)가 확인됐다. LLM 악성코드 자동 생성 기능을 적극 활용 중인 것으로 보인다.
지난해 12월 이후 등장한 최신 페블대시 기반 백도어 ‘httpMalice’의 두 가지 버전도 발견됐다. 1.8버전은 드롭박스 API와 사전 정의된 앱 자격증명을 활용했고, 1.9는 CacheDB라는 윈도우 서비스를 생성해 지속성을 확보하고 있었다. 악성 파일을 디스크에 남기지 않고 메모리에서 직접 실행하는 파일리스(Fileless) 공격 도구 ‘httpTroy’도 확인됐다.
이효은 카스퍼스키코리아 지사장은 “김수키 최신 캠페인은 단순 악성코드 업데이트를 넘어, AI 코드 생성 도구 활용과 정상 소프트웨어 악용이라는 두 가지 축으로 공격의 정교함을 높이고 있다”며 “기업 환경에서 광범위하게 쓰이는 도구가 공격 채널로 전용된 만큼, 행위 기반 탐지 체계 구축과 정기적 위협 인텔리전스 업데이트가 어느 때보다 중요하다”고 말했다.
[조재호 기자(zephyr@boannews.com)]
러스트 기반 헬로도어 내부 이모지 로그 발견... LLM 악용 기정사실화
VS코드 원격 터널 및 DW에이전트 전용해 침투 유지하고 GPKI 겨냥
[보안뉴스 조재호 기자] 북한 배후 해킹 그룹 ‘김수키’(Kimsuky)가 AI와 최신 프로그래밍 언어를 결합한 하이브리드 공격으로 국가 안보의 근간을 뒤흔들고 있다. 이들은 초거대언어모델(LLM)을 활용해 신규 백도어를 자체 제작하고, 공무원 디지털 신분증인 전자인증서(GPKI)를 무차별 수집하는 자동화 모듈을 운용한다.
[출처: gettyimagesbank]
카스퍼스키는 14일 북한 배후 APT 그룹 김수키의 최신 공격 캠페인에 대한 심층 기술 분석 보고서를 발표했다.
이 보고서는 마이크로소프트(MS)에서 ‘루비슬릿’(Ruby Sleet)으로, 맨디언트가 ‘세리움’(Cerium, 또는 APT43)으로 명명한 김수키의 최근 활동 클러스터를 분석, 이들이 주력으로 사용하는 악성코드인 페블대시(PebbleDash)와 애플시드(AppleSeed) 간 기술적 연결 고리를 입증했다.
연구진은 단일 그룹이 필요에 따라 두 클러스트를 함께 운용한다고 판단했다. 두 클러스터가 멀티스레딩 환경에서 공유 자원에 하나의 스레드만 접근하도록 하는 뮤텍스 패턴이 같고, 같은 도용 인증서로 서명된 점을 포착했기 때문이다.
가장 우려되는 대목은 국가 기반 인프라를 향한 노골적, 직접적 타격이다. 김수키 핵심 도구인 ‘애플시드’(AppleSeed)는 2022년부터 공무원들이 사용하는 정부 공인 전자인증서(GPKI) 디렉토리(C:\GPKI)를 집중적으로 수집하는 기능이 기본 탑재됐다. 이는 정부부처 관계자들의 디지털 신분증으로 핵심 권한 자산이다. 또 이들의 표적이 국내 방위산업과 군, 정부를 넘어 2020년대 들어 방산 생태계 전반으로 확대되고 있음이 확인됐다.
기술적 측면에서는 ‘정상 도구의 무기화’(Weaponization)와 융합 전술의 고도화가 진행됐다. 김수키는 MS 소스 코드 편집기 비주얼 스튜디오 코드(VSCode)의 원격 터널링(Remote Tunneling) 기능과 클라우드플레어 퀵 터널(Cloudflare Quick Tunnels)을 악용해 시스템 침투 후 백도어 통로를 확보했다. 오픈소스 원격 관리 도구 DW에이전트(DWAgent)를 피해자 PC에 설치해 사후 침투(Post-Exploitation) 활동을 지속하는 등 시스템 내 정상 소프트웨어를 악용하는 ‘자급자족형’(Living off the Land) 전술로 백신 프로그램의 탐지를 사실상 무력화하는 것으로 나타났다.
악성코드 개발 단계에서 AI를 악용한 정황도 확인됐다. 김수키 공격 캠페인에서 처음으로 러스트(Rust) 프로그래밍 언어로 작성된 신규 백도어 헬로도어(HelloDoor)를 발견했다. 코드 내부 주석에서 문법 오류와 함께 생성형 AI 활용 결과물의 특징인 이모지(Emoji)가 확인됐다. LLM 악성코드 자동 생성 기능을 적극 활용 중인 것으로 보인다.
지난해 12월 이후 등장한 최신 페블대시 기반 백도어 ‘httpMalice’의 두 가지 버전도 발견됐다. 1.8버전은 드롭박스 API와 사전 정의된 앱 자격증명을 활용했고, 1.9는 CacheDB라는 윈도우 서비스를 생성해 지속성을 확보하고 있었다. 악성 파일을 디스크에 남기지 않고 메모리에서 직접 실행하는 파일리스(Fileless) 공격 도구 ‘httpTroy’도 확인됐다.
이효은 카스퍼스키코리아 지사장은 “김수키 최신 캠페인은 단순 악성코드 업데이트를 넘어, AI 코드 생성 도구 활용과 정상 소프트웨어 악용이라는 두 가지 축으로 공격의 정교함을 높이고 있다”며 “기업 환경에서 광범위하게 쓰이는 도구가 공격 채널로 전용된 만큼, 행위 기반 탐지 체계 구축과 정기적 위협 인텔리전스 업데이트가 어느 때보다 중요하다”고 말했다.
[조재호 기자(zephyr@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.png)
.jpg)
.png)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
