0xNews - 더 강력해진 북한 스파이웨어 김수키 Kimsuky 공개
0xNews - 더 강력해진 북한 스파이웨어 김수키 Kimsuky 공개
미국 정부가 북한 정부 지원으로 운영되는 해커그룹의 글로벌 정보 수집 입무에 대한 권고 발표 후 변경 발견 경고
https://us-cert.cisa.gov/northkorea
김수키 Kimsuky 혹은 Black Banshee 나 Thallium 라 불리는 APT 공격
https://malpedia.caad.fkie.fraunhofer.de/actor/kimsuky
2012년경부터 활성화된 것으로 파악
이번에 발견된 것은 악성코드 방지분석 도구인 정보 도용자 information stealer 포함
현재까지 문서화되지 않은 악성 코드와 연결
악성코드는 다양한 기능과 이전 스파이웨어 프레임워크와 상당히 겹치는 새로운 서버 인프라 정보
해당 해킹그룹은 주로 한국의 중요 기업이나 정부기관을 대상으로 한 공격 캠페인을 비롯
전 세계적으로 공격적인 사이버 공격을 수행한 악명 높은 역사를 가지고 있음
최근 몇년 동안은 미국, 러시아, 유럽 여러 국가를 대상으로 공격 범위를 확장 중
cybereason 보안팀 추가 발표
https://www.cybereason.com/blog/back-to-the-future-inside-the-kimsuky-kgh-spyware-suite
2020년 10월 27일 미국은 연방 수사국 FBI, 국방부 departments of Defense, 국토안보부 Homeland Security 등 공동 발표
김수키에 대한 전술, 기술, 절차 등에 대한 상세 정보 공개
https://us-cert.cisa.gov/ncas/alerts/aa20-301a
https://attack.mitre.org/groups/G0094/
기본적으로 스피어피싱과 사회공학적 트릭을 활용
피해자 네트워크에 대한 초기 접속 권한 획득
다양한 분야의 전문가, 싱크탱크, 암호화폐 산업이나 조직, 한국 정부 기관 등으로 식별된 개인 정보를 구체적으로 특정하여 공격 대상을 특정
BabyShark 악성코드가 포함된 이메일 발송
https://malpedia.caad.fkie.fraunhofer.de/details/win.babyshark
최근 몇개월 동안 Kimsuky 는 이런 감염이 성공하도록 무기화 시도
MS Word 문서 포함한 이메일 발송
코로나 바이러스 테마 등을 이용한 피싱 이메일 발송
발송 후 피해자 컴퓨터에서 수신이 성공하면 맬웨어 공격을 수행
김수키의 한국 지역 대상 공격은 한반도, 핵 정책, 핵 정책 제제와 관련된 외교 정책과 국가 안보 문제에 대한 정보 수집 활동에 초점
이번 맬웨어 분석 결과 KGH_SPY 라는 모듈식 스파이웨어 제품군을 통해 새로운 기능을 획득 가능
대상 네트워크를 정찰하고 키 입력을 캡처하며 민감 정보를 탈취
또한 C&C 서버에서 보조 페이로드를 다운로드
cmd.exe 혹은 Powershell 을 통해 임의의 명령을 실행
웹 브라우저, Windows Credential Manager, WINSCP, 메일 클라이언트 등에서 정보 수집 활동 수행
설치된 컴퓨터에서의 분석 활동 방해
이외 추가 페이로드 다운로드 하도록 설계된 CSPY Downloader 새로운 맬웨어 발견
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.