김수키, 미국 방산업체 ‘제너럴 다이내믹스’와 ‘록히드 마틴’ 위장 악성파일로 독일 방산 분야 노려
백도어 기능으로 감염된 PC 장악...C&C 서버로 데이터 전송 및 명령 제어 등 통신
[보안뉴스 김경애 기자] 독일 방산업체 ‘딜 디펜스’가 북한의 해커조직 김수키에게 해킹 공격을 받은 것으로 알려진 가운데, 김수키 조직이 비슷한 시기에 독일을 타깃으로 미국 방산업체 ‘제너럴 다이내믹스(GENERAL DYNAMICS)’와 ‘록히드 마틴(Lockheed Martin)’으로 위장한 악성파일로 공격한 정황이 포착됐다. 북한 김수키의 공격이 독일 방산 관련 분야로 확대됐을 가능성이 커지고 있는 만큼 관련 대상들에 대한 철저한 모니터링 및 조사가 필요해 보인다.
▲북한 해커조직 김수키의 독일 방산 분야 타깃 공격 개요[자료=지스케일러 박성수 책임연구원]
지난 5월 ‘딜 디펜스’가 김수키의 공격을 받은 것으로 알려진 가운데 미국의 방산업체 인사 제안서 내용으로 위장한 악성 파일이 발견됐다. 김수키가 독일을 타깃으로 감염시킨 악성파일은 미국 글로벌 방산업체 ‘제너럴 다이내믹스’와 ‘록히드 마틴’으로 위장하고 있다. 두 악성파일에는 인사담당 부서를 대상으로 엔지니어를 구한다는 내용과 함께 급여조건, 근무시간 등의 내용을 담고 있다.
‘제너럴 다이내믹스’를 위장한 악성파일은 5월 13일 제작됐으며, 바이러스토탈에 지난 5월 15일 올라왔다. 특히 주목되는 건 해당 악성파일을 올린 곳이 독일로 확인됐다는 것이다. 또한 ‘록히드 마틴’으로 위장한 악성파일은 5월 23일 제작됐으며, 같은 날 바이러스토탈에 올라왔다. 즉, 독일 방산 분야를 타깃으로 한 공격이 딜 디펜스는 물론 다른 타깃으로도 확대됐을 가능성이 높다는 것이다.
▲북한 해커조직 김수키의 독일 방산 분야 타깃 공격 개요[자료=지스케일러 박성수 책임연구원]
해당 악성파일은 백도어 기능이 있어 악성코드 추가 실행, 파일 업로드, 삭제, 스크린샷, 설정정보 업데이트 등이 가능해 사용자의 컴퓨터를 완전히 장악한 것으로 분석됐다.
이와 관련 추가 악성코드를 발견해 분석한 지스케일러 박성수 책임연구원은 “독일의 건강보험 관련 이미지를 미끼 문서로 사용한 악성코드도 발견됐다”며, “이번에 발견된 악성코드를 분석한 결과 김수키 그룹 뿐만 아니라 라자루스 그룹의 특징 또한 확인됐으며, 일부 악성코드에서는 ‘아무도몰라!!@321’라는 암호화 키가 사용됐다”고 설명했다.
이어 박성수 연구원은 “김수키 해커조직은 최근 국내 사례에서 안다리엘 그룹과 협업하는 듯한 특징을 보이고 있으며, 국내 뿐만 아니라 해외의 다양한 산업군을 공격할 가능성이 높다”며 “모니터링을 강화하고, 다른 산업군과의 협업이 중요하다”고 강조했다. 특히, 북한 해커조직의 전체적인 공격 기반을 분석해 대응방안을 강구해야 한다고 당부했다
[김경애 기자(boan3@boannews.com)]
백도어 기능으로 감염된 PC 장악...C&C 서버로 데이터 전송 및 명령 제어 등 통신
[보안뉴스 김경애 기자] 독일 방산업체 ‘딜 디펜스’가 북한의 해커조직 김수키에게 해킹 공격을 받은 것으로 알려진 가운데, 김수키 조직이 비슷한 시기에 독일을 타깃으로 미국 방산업체 ‘제너럴 다이내믹스(GENERAL DYNAMICS)’와 ‘록히드 마틴(Lockheed Martin)’으로 위장한 악성파일로 공격한 정황이 포착됐다. 북한 김수키의 공격이 독일 방산 관련 분야로 확대됐을 가능성이 커지고 있는 만큼 관련 대상들에 대한 철저한 모니터링 및 조사가 필요해 보인다.
▲북한 해커조직 김수키의 독일 방산 분야 타깃 공격 개요[자료=지스케일러 박성수 책임연구원]
지난 5월 ‘딜 디펜스’가 김수키의 공격을 받은 것으로 알려진 가운데 미국의 방산업체 인사 제안서 내용으로 위장한 악성 파일이 발견됐다. 김수키가 독일을 타깃으로 감염시킨 악성파일은 미국 글로벌 방산업체 ‘제너럴 다이내믹스’와 ‘록히드 마틴’으로 위장하고 있다. 두 악성파일에는 인사담당 부서를 대상으로 엔지니어를 구한다는 내용과 함께 급여조건, 근무시간 등의 내용을 담고 있다.
‘제너럴 다이내믹스’를 위장한 악성파일은 5월 13일 제작됐으며, 바이러스토탈에 지난 5월 15일 올라왔다. 특히 주목되는 건 해당 악성파일을 올린 곳이 독일로 확인됐다는 것이다. 또한 ‘록히드 마틴’으로 위장한 악성파일은 5월 23일 제작됐으며, 같은 날 바이러스토탈에 올라왔다. 즉, 독일 방산 분야를 타깃으로 한 공격이 딜 디펜스는 물론 다른 타깃으로도 확대됐을 가능성이 높다는 것이다.
▲북한 해커조직 김수키의 독일 방산 분야 타깃 공격 개요[자료=지스케일러 박성수 책임연구원]
해당 악성파일은 백도어 기능이 있어 악성코드 추가 실행, 파일 업로드, 삭제, 스크린샷, 설정정보 업데이트 등이 가능해 사용자의 컴퓨터를 완전히 장악한 것으로 분석됐다.
이와 관련 추가 악성코드를 발견해 분석한 지스케일러 박성수 책임연구원은 “독일의 건강보험 관련 이미지를 미끼 문서로 사용한 악성코드도 발견됐다”며, “이번에 발견된 악성코드를 분석한 결과 김수키 그룹 뿐만 아니라 라자루스 그룹의 특징 또한 확인됐으며, 일부 악성코드에서는 ‘아무도몰라!!@321’라는 암호화 키가 사용됐다”고 설명했다.
이어 박성수 연구원은 “김수키 해커조직은 최근 국내 사례에서 안다리엘 그룹과 협업하는 듯한 특징을 보이고 있으며, 국내 뿐만 아니라 해외의 다양한 산업군을 공격할 가능성이 높다”며 “모니터링을 강화하고, 다른 산업군과의 협업이 중요하다”고 강조했다. 특히, 북한 해커조직의 전체적인 공격 기반을 분석해 대응방안을 강구해야 한다고 당부했다
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 TH.jpg)
.png){kind=spacer}
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
