S사의 보안 프로그램 파일로 위장, Go언어 기반의 정보탈취형 인포스틸러
트롤스틸러 행정전자서명용 공인인증서 및 각종 민감 정보 탈취
김수키, 공무원 사용 PC를 장악해 정보탈취 노려
[보안뉴스 박은주 기자] 북한 배후의 해킹그룹 ‘김수키(Kimsuky)’에서 국내 보안 프로그램으로 위장한 악성코드를 유포한 정황이 포착됐다. Go언어 기반의 정보탈취형 악성코드인 인포스틸러(Info-Stealer)로, 국내 보안기업 S사의 보안 프로그램 설치파일로 위장했다.
[이미지=gettyimagesbank]
해당 악성코드 유포는 데이터 인텔리전스 기업 S2W(에스투더블유, 서상덕 대표)의 위협인텔리전스센터 ‘탈론(Talon)’에 의해 발견됐다. S2W는 이번 악성코드 파일에 포함된 문자열을 따서 ‘트롤스틸러(Troll Stealer)’로 명명했다.
트롤스틸러는 △유저의 시스템 정보, IP주소, 위치정보 △웹브라우저에 저장된 유저의 접속사이트, 아이디, 비밀번호 △PC에 설치된 각종 프로그램의 목록과 파일 다운로드, 전송 기록 △PC에 기록된 각종 주요 정보(스티커 메모, 메모장 기록, 금융 서류, 암호화폐 관련 데이터) 등을 탈취할 수 있다.
특히 트롤스틸러는 피해 유저의 PC 내에서 ‘GPKI’ 디렉토리에서 파일을 탈취하는 것으로 알려졌다. GPKI란 행정전자서명인증서라고도 불리며 한국의 행정 및 공공기관 등의 정부에서 사용하는 행정전자서명용 공인인증서이다. 이는 트롤스틸러가 국내 공공기관, 특히 행정전자서명이 필요한 기관을 표적으로 삼고 있을 가능성이 있음을 의미한다.
김수키는 한국의 주요 포털 사이트를 위장한 피싱 공격과 정상 프로그램으로 위장한 앱으로 공격하는 악명높은 APT(Advanced Persistent Threat, 지능형 지속 공격) 기반의 북한 해킹 조직이다. 이전에 한컴뷰어를 위장한 악성앱(FastViewer)을 만든 이력도 있다. 2023년 11월 말에는 미국 재무부 외교자산통제국(OFAC)에 의해 제재를 받았다.
S2W는 트롤스틸러와 관련해서 분석한 기술 보고서를 자사 블로그에 ‘Kimsuky disguised as a Korean company signed with a valid certificate to distribute Troll Stealer(한국 회사로 위장한 보안 프로그램 설치 파일로 Troll Stealer 악성코드를 배포한 김수키)’라는 제목으로 공개했다.
S2W 위협인텔리전스센터 김재기 센터장은 “트롤스틸러는 국내 보안 프로그램을 위장하고 있었고, 우리 정부만 사용하는 인증서를 탈취 대상에 포함해 김수키 그룹 사이 연관성이 파악됐다”며 “공무원이 사용하는 PC를 장악해 정보탈취를 하고자 하는 목적형 인포스틸러 공격에 대해서 공공기관의 철저한 대비가 필요하다”고 덧붙였다.
[박은주 기자(boan5@boannews.com)]
트롤스틸러 행정전자서명용 공인인증서 및 각종 민감 정보 탈취
김수키, 공무원 사용 PC를 장악해 정보탈취 노려
[보안뉴스 박은주 기자] 북한 배후의 해킹그룹 ‘김수키(Kimsuky)’에서 국내 보안 프로그램으로 위장한 악성코드를 유포한 정황이 포착됐다. Go언어 기반의 정보탈취형 악성코드인 인포스틸러(Info-Stealer)로, 국내 보안기업 S사의 보안 프로그램 설치파일로 위장했다.
[이미지=gettyimagesbank]
해당 악성코드 유포는 데이터 인텔리전스 기업 S2W(에스투더블유, 서상덕 대표)의 위협인텔리전스센터 ‘탈론(Talon)’에 의해 발견됐다. S2W는 이번 악성코드 파일에 포함된 문자열을 따서 ‘트롤스틸러(Troll Stealer)’로 명명했다.
트롤스틸러는 △유저의 시스템 정보, IP주소, 위치정보 △웹브라우저에 저장된 유저의 접속사이트, 아이디, 비밀번호 △PC에 설치된 각종 프로그램의 목록과 파일 다운로드, 전송 기록 △PC에 기록된 각종 주요 정보(스티커 메모, 메모장 기록, 금융 서류, 암호화폐 관련 데이터) 등을 탈취할 수 있다.
특히 트롤스틸러는 피해 유저의 PC 내에서 ‘GPKI’ 디렉토리에서 파일을 탈취하는 것으로 알려졌다. GPKI란 행정전자서명인증서라고도 불리며 한국의 행정 및 공공기관 등의 정부에서 사용하는 행정전자서명용 공인인증서이다. 이는 트롤스틸러가 국내 공공기관, 특히 행정전자서명이 필요한 기관을 표적으로 삼고 있을 가능성이 있음을 의미한다.
김수키는 한국의 주요 포털 사이트를 위장한 피싱 공격과 정상 프로그램으로 위장한 앱으로 공격하는 악명높은 APT(Advanced Persistent Threat, 지능형 지속 공격) 기반의 북한 해킹 조직이다. 이전에 한컴뷰어를 위장한 악성앱(FastViewer)을 만든 이력도 있다. 2023년 11월 말에는 미국 재무부 외교자산통제국(OFAC)에 의해 제재를 받았다.
S2W는 트롤스틸러와 관련해서 분석한 기술 보고서를 자사 블로그에 ‘Kimsuky disguised as a Korean company signed with a valid certificate to distribute Troll Stealer(한국 회사로 위장한 보안 프로그램 설치 파일로 Troll Stealer 악성코드를 배포한 김수키)’라는 제목으로 공개했다.
S2W 위협인텔리전스센터 김재기 센터장은 “트롤스틸러는 국내 보안 프로그램을 위장하고 있었고, 우리 정부만 사용하는 인증서를 탈취 대상에 포함해 김수키 그룹 사이 연관성이 파악됐다”며 “공무원이 사용하는 PC를 장악해 정보탈취를 하고자 하는 목적형 인포스틸러 공격에 대해서 공공기관의 철저한 대비가 필요하다”고 덧붙였다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
