North Korean Kimsuky Hackers Deploy New Tactics and Malicious Scripts in Recent Attacks
- 공격 개요 및 초기 침투 방식
- 북한 APT 그룹 Kimsuky(Black Banshee)가 한국, 일본, 미국을 대상으로 사이버 정찰 활동 수행
- 악성 ZIP 파일 내부에 VBScript, PowerShell 스크립트, 인코딩된 텍스트 파일 2개 포함
- VBScript는 chr(), CLng() 함수 기반 동적 문자열 생성 방식으로 탐지 우회
- 다단계 페이로드 및 로직
- VBScript 실행 시 PowerShell을 통해 base64 인코딩 스크립트 복호화 및 실행
- 수행 기능: 시스템 정찰, 데이터 수집 및 명령제어(C2) 서버 통신
- VM 탐지 기능 포함: 가상 환경 탐지 시 자동 종료, 실 환경에서는 BIOS 정보 수집 및 전용 폴더 생성
- 정보 수집 및 탈취 범위
- 주요 브라우저(Edge, Chrome, Firefox, Whale)에서 쿠키, 로그인 정보, 웹 히스토리 탈취
- 암호화폐 지갑 브라우저 확장 프로그램 탐색 및 관련 파일 수집
- 시스템 정보 수집 항목: 하드웨어 구성, 네트워크 어댑터 상태, 설치 프로그램 목록 등
- 지속성 유지 기법
- Windows 예약 작업(Task Scheduler)을 통한 실행 유지
- 시스템에서 실시간 정보 변경 여부 모니터링 및 자동 탈취
- 최종 단계: 키로거 삽입
- Windows API 호출을 통해 키 입력, 클립보드 복사 내용, 윈도우 제목 등 사용자 행위 감시
- 수집된 정보는 주기적으로 C2 서버로 업로드
- 결론
- Kimsuky의 이번 캠페인은 정찰부터 탈취, 지속성, 감시까지 고도화된 APT 공격 전술을 포함
- 다계층 구성과 정교한 탐지 우회 기법은 일반 백신이나 룰 기반 탐지 시스템으로는 식별이 어려움
- 기업 및 정부 기관은 스크립트 실행 정책 강화, 행위 기반 탐지, EDR 솔루션 연계 등을 통한 탐지 및 대응 체계 구축 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Operation ForumTroll: Google Chrome 제로데이(CVE-2025-2783)를 악용한 APT 공격 분석 (0) | 2025.05.07 |
|---|---|
| 암호화 키를 활용한 IoT 및 AI 기기 보안 강화 전략 (0) | 2025.05.07 |
| 악성 npm 패키지, 로컬 'ethers' 라이브러리 감염 통해 리버스 셸 공격 수행 (0) | 2025.05.07 |
| OrpaCrab 리눅스 백도어: 산업용 OT 시스템 대상 0-Day RCE 기반 고도화 위협 분석 (1) | 2025.05.07 |
| EncryptHub 그룹의 윈도우 제로데이(CVE-2025-26633) 악용 공격 분석 (0) | 2025.05.07 |