North Korean Hackers Leverage Dropbox and PowerShell Scripts to Breacg Orgs
North Korean Hackers Leverage Dropbox and PowerShell Scripts to Breacg Orgs
A recent cyberattack campaign, dubbed "DEEP#DRIVE," has been attributed to the North Korean Advanced Persistent Threat (APT) group, Kimsuky.
gbhackers.com
- DEEP#DRIVE 캠페인 개요
- 북한 APT 그룹 Kimsuky가 주도한 사이버 공격 캠페인
- 한국 내 기업, 정부 기관 및 암호화폐 사용자 대상
- Dropbox 기반 페이로드 전달 및 PowerShell 스크립트를 통한 침투 방식 사용
- OAuth 토큰을 활용한 Dropbox API 연동으로 탐지 회피
- 공격 기법 및 과정
- 초기 접근
- 악성 .lnk 파일을 첨부한 피싱 이메일 전송
- 파일 확장자 숨김 기능을 악용하여 사용자가 파일을 실행하도록 유도
- 페이로드 전달
- PowerShell 스크립트 실행 후 Dropbox에서 압축된 페이로드 다운로드
- 메모리 내 직접 실행으로 탐지 회피
- 지속성 확보
- 예약 작업을 등록하여 악성 코드 재실행 보장
- 시스템 업데이트로 위장
- 정찰 및 정보 수집
- IP 주소, 운영 체제, 안티바이러스 정보 및 실행 중인 프로세스 수집
- 데이터 탈취
- 수집된 정보는 Dropbox에 업로드되어 외부로 전송
- 초기 접근
- 탐지 회피 및 공격 특성
- Base64 인코딩과 불필요한 코드 삽입 등 난독화 기술 사용
- Dropbox를 악용하여 정상적인 사용자 활동에 위장
- 단기적이고 빠르게 변경되는 공격 인프라 사용
- 결론
- 의심스러운 외부 파일 다운로드 및 실행 금지
- 사용자별 디렉토리(%AppData%) 모니터링 강화
- PowerShell 활동에 대한 엔드포인트 로깅 강화
- 임직원 대상 피싱 탐지 및 파일 실행 경각심 교육 실시
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Signal 앱의 '연결된 장치' 기능 악용을 통한 계정 탈취 공격 분석 (0) | 2025.02.24 |
|---|---|
| 북한 해커 조직의 프리랜서 개발자 대상 악성코드 배포 캠페인 분석 (1) | 2025.02.24 |
| BlackLock 랜섬웨어, Windows, VMware ESXi 및 Linux 환경 공격 (0) | 2025.02.24 |
| 서버리스 컴퓨팅의 현실과 하이브리드 접근의 필요성 (0) | 2025.02.23 |
| 2025년도 금융감독원 검사업무 운영계획 및 내부통제 강화 방안 (0) | 2025.02.23 |