북 해킹 조직 김수키 전형적 공격 패턴
[보안뉴스 강현주 기자] 기업담당자를 겨냥한 고객 위장 ‘개인정보 유출 문의’ 메일을 통한 스피어피싱 공격이 포착됐다. 북한 해킹 그룹 ‘김수키’ 연계가 의심되는 피싱이 기승을 부리고 있다.
보안 전문기업 이스트시큐리티(대표 정상원)는 기업 담당자를 겨냥해 업무 맥락을 파고드는 정교한 스피어피싱 공격을 포착해 기업들의 각별한 주의가 요구된다고 15일 밝혔다.
▲미끼 문서로 사용된 엑셀 파일 화면 [출처: 이스트시큐리티]
이스트시큐리티 대응센터(ESRC)에서 운영 중인 지능형 지속 공격(APT) 위협 탐지 시스템(TDS)을 통해 ‘개인정보 유출 의심 확인 요청’이라는 민감한 소재를 악용한 표적형 악성 메일 공격을 잇달아 포착했다.
이번 공격은 불특정 다수에게 악성코드를 무작위로 살포하던 과거 방식과 달리, 특정 기업의 실무 담당자와 여러 차례 정상적인 메일을 주고받으며 신뢰를 쌓은 뒤 악성 파일을 실행하도록 유도하는 전형적인 ‘사회공학적’ 기법을 활용했다.
특히 공격자는 첫 번째 시도에서 메일 내 악성 링크가 기업의 보안 솔루션에 의해 차단되자 담당자에게 “자체 보안팀 검사 결과 이상이 없으며 오탐지로 보인다”고 안심시킨 뒤, 백신 감시를 우회하기 위해 암호가 설정된 압축 파일 형태로 악성코드를 재전송하는 치밀함을 보였다.
만약 사용자가 압축을 풀고 일반 문서로 위장된 악성 윈도우 바로가기(LNK) 파일을 실행하면, 백그라운드에서 32비트 파워쉘(PowerShell)이 강제 호출되면서 일부 보안 솔루션의 탐지를 우회한다. 사용자의 눈에는 정상적인 엑셀(XLSX)이나 PDF 고객현황 문서가 출력되지만, 실제로는 시스템 정보를 탈취하고 추가 악성 행위를 수행하는 구조다.
공격자는 탐지를 피하기 위해 두 가지 형태의 프레임워크를 혼용했다. 첫번째는 정상 클라우드 서비스인 드롭박스(Dropbox) API를 명령제어 서버로 악용해 PC 내 정보를 탈취하고 가상환경 분석을 탐지하는 기능을 포함했다. 두번째는 공격자의 자체 HTTPS 서버와 직접 통신하는 형태로, 국내 유명 보안 소프트웨어의 자동 업데이트로 위장한 파일을 시작프로그램에 등록해 지속성을 확보하고 명령어를 은닉했다.
ESRC는 수집한 악성 샘플 3종을 정밀 분석한 결과, 모두 동일한 내부 구조와 미끼 문서(고객현황 위장)를 공유하는 것으로 확인했다. 즉, 동일한 공격 그룹이 하나의 캠페인 안에서 상황에 따라 도구를 바꿔 가며 운용하는 것으로 북한 연계 해킹 조직인 킴수키(Kimsuky)의 전형적인 공격 패턴과 매우 높은 유사성을 나타냈다.
구체적으로 △개인정보 유출 명분으로 수차례 메일을 주고 받은 ‘정교한 사회공학’ △LNK 파일을 통한 동일한 초기 실행 방식과 한국어 미끼 문서를 사용한 ‘공통 침투 체인’ △정상 클라우드와 자체 도메인을 병행해 차단 시 대체 채널 확보한 ‘다중 명령제어(C2) 인프라 운용’ △┖Pan┖ 계열 캠페인 식별자와 국내 보안 소프트웨어 위장 등 한국 조직을 겨냥한 ‘국내 표적 정황’ 등의 특징이 공통적으로 확인됐다.
이스트시큐리티 ESRC 관계자는 “이번 공격은 보안 담당자의 가장 큰 관심사이자 취약점인 ‘개인정보 유출’을 명분으로 삼아 의심을 피했다”며 “발신자가 외부인일 경우 대화가 자연스럽게 이어지더라도 첨부파일이나 링크를 실행할 때 각별히 주의해야 한다”고 말했다.
이어 “보안 솔루션이 한 번 차단한 파일에 대해 상대방이 오탐이라며 암호 압축 파일로 재전송하는 경우는 명백한 공격 신호이므로 절대 실행해서는 안 된다”며 “기업 실무자들은 윈도우 탐색기 설정에서 ‘알려진 파일 형식의 파일 확장명 숨기기’ 옵션을 해제하고 실행 전 실제 확장자(LNK, EXE 등)를 반드시 확인하는 보안 습관이 필요하다”고 했다.
더 자세한 정보는 이스트시큐리티 공식 블로그에서 제공하는 악성코드 분석 리포트에서 확인할 수 있다.
[강현주 기자(jjoo@boannews.com)]
[보안뉴스 강현주 기자] 기업담당자를 겨냥한 고객 위장 ‘개인정보 유출 문의’ 메일을 통한 스피어피싱 공격이 포착됐다. 북한 해킹 그룹 ‘김수키’ 연계가 의심되는 피싱이 기승을 부리고 있다.
보안 전문기업 이스트시큐리티(대표 정상원)는 기업 담당자를 겨냥해 업무 맥락을 파고드는 정교한 스피어피싱 공격을 포착해 기업들의 각별한 주의가 요구된다고 15일 밝혔다.
▲미끼 문서로 사용된 엑셀 파일 화면 [출처: 이스트시큐리티]
이스트시큐리티 대응센터(ESRC)에서 운영 중인 지능형 지속 공격(APT) 위협 탐지 시스템(TDS)을 통해 ‘개인정보 유출 의심 확인 요청’이라는 민감한 소재를 악용한 표적형 악성 메일 공격을 잇달아 포착했다.
이번 공격은 불특정 다수에게 악성코드를 무작위로 살포하던 과거 방식과 달리, 특정 기업의 실무 담당자와 여러 차례 정상적인 메일을 주고받으며 신뢰를 쌓은 뒤 악성 파일을 실행하도록 유도하는 전형적인 ‘사회공학적’ 기법을 활용했다.
특히 공격자는 첫 번째 시도에서 메일 내 악성 링크가 기업의 보안 솔루션에 의해 차단되자 담당자에게 “자체 보안팀 검사 결과 이상이 없으며 오탐지로 보인다”고 안심시킨 뒤, 백신 감시를 우회하기 위해 암호가 설정된 압축 파일 형태로 악성코드를 재전송하는 치밀함을 보였다.
만약 사용자가 압축을 풀고 일반 문서로 위장된 악성 윈도우 바로가기(LNK) 파일을 실행하면, 백그라운드에서 32비트 파워쉘(PowerShell)이 강제 호출되면서 일부 보안 솔루션의 탐지를 우회한다. 사용자의 눈에는 정상적인 엑셀(XLSX)이나 PDF 고객현황 문서가 출력되지만, 실제로는 시스템 정보를 탈취하고 추가 악성 행위를 수행하는 구조다.
공격자는 탐지를 피하기 위해 두 가지 형태의 프레임워크를 혼용했다. 첫번째는 정상 클라우드 서비스인 드롭박스(Dropbox) API를 명령제어 서버로 악용해 PC 내 정보를 탈취하고 가상환경 분석을 탐지하는 기능을 포함했다. 두번째는 공격자의 자체 HTTPS 서버와 직접 통신하는 형태로, 국내 유명 보안 소프트웨어의 자동 업데이트로 위장한 파일을 시작프로그램에 등록해 지속성을 확보하고 명령어를 은닉했다.
ESRC는 수집한 악성 샘플 3종을 정밀 분석한 결과, 모두 동일한 내부 구조와 미끼 문서(고객현황 위장)를 공유하는 것으로 확인했다. 즉, 동일한 공격 그룹이 하나의 캠페인 안에서 상황에 따라 도구를 바꿔 가며 운용하는 것으로 북한 연계 해킹 조직인 킴수키(Kimsuky)의 전형적인 공격 패턴과 매우 높은 유사성을 나타냈다.
구체적으로 △개인정보 유출 명분으로 수차례 메일을 주고 받은 ‘정교한 사회공학’ △LNK 파일을 통한 동일한 초기 실행 방식과 한국어 미끼 문서를 사용한 ‘공통 침투 체인’ △정상 클라우드와 자체 도메인을 병행해 차단 시 대체 채널 확보한 ‘다중 명령제어(C2) 인프라 운용’ △┖Pan┖ 계열 캠페인 식별자와 국내 보안 소프트웨어 위장 등 한국 조직을 겨냥한 ‘국내 표적 정황’ 등의 특징이 공통적으로 확인됐다.
이스트시큐리티 ESRC 관계자는 “이번 공격은 보안 담당자의 가장 큰 관심사이자 취약점인 ‘개인정보 유출’을 명분으로 삼아 의심을 피했다”며 “발신자가 외부인일 경우 대화가 자연스럽게 이어지더라도 첨부파일이나 링크를 실행할 때 각별히 주의해야 한다”고 말했다.
이어 “보안 솔루션이 한 번 차단한 파일에 대해 상대방이 오탐이라며 암호 압축 파일로 재전송하는 경우는 명백한 공격 신호이므로 절대 실행해서는 안 된다”며 “기업 실무자들은 윈도우 탐색기 설정에서 ‘알려진 파일 형식의 파일 확장명 숨기기’ 옵션을 해제하고 실행 전 실제 확장자(LNK, EXE 등)를 반드시 확인하는 보안 습관이 필요하다”고 했다.
더 자세한 정보는 이스트시큐리티 공식 블로그에서 제공하는 악성코드 분석 리포트에서 확인할 수 있다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
