北 김수키 해커그룹, ‘블루샤크’ 전술로 APT 공격 감행
“강의 부탁드립니다”…北 해킹조직, 특강 요청 위장한 스피어피싱 공격
- 김수키 조직의 APT 공격
- 북한의 김수키(Kimsuky) 해커 조직이 블루샤크(BlueShark) 전술로 지능형 지속위협(APT) 공격을 감행
- LNK, ISO, MSC, HWP 등 다양한 유형의 악성파일을 활용해 국내 및 해외의 주요 기관과 기업을 타깃으로 함
- 강연 의뢰, 인터뷰 요청, 특강 등의 명목으로 접근하여 악성 파일을 포함한 메일 발송
- 공격 수법
- PDF 파일, Word 문서, 한글 문서, MSC 관리 콘솔 파일 등을 사용해 악성 코드를 삽입
- 구글 드라이브, 원드라이브(OneDrive), 프로톤 드라이브(Proton Drive) 등 클라우드 서비스를 통해 악성 파일을 배포
- 공격자는 이메일로 스피어 피싱(Spear Phishing)을 통해 접근하며, 수신자의 회신과 반응에 따라 본격적으로 단말 침투 공격을 시작
- 블루샤크 전술 분석
- 지니언스 시큐리티 센터(GSC)는 블루샤크 전술을 통해 김수키 조직이 다양한 피싱 공격 시나리오를 사용했다고 분석
- 특강 요청 등의 메일에 압축 파일을 첨부해, 내부에 LNK 바로가기 악성 파일을 포함
- 문서 파일은 정상 파일로 위장해 사용자에게 신뢰를 주고, 피싱 사이트로 유도해 계정 정보를 탈취
- 악성코드 유포 방식
- 공격자는 디스크 이미지 파일(ISO)에 악성 코드를 포함시켜 유포
- MSC 파일을 통해 명령제어(C2) 서버와 연결 후 추가적인 명령을 수행
- OLE 개체 연결을 악용해 정상 문서를 미끼로 사용, 시스템에 악성 코드를 설치하고 원격으로 시스템 장악
- 대응 방안
- EDR 시스템 등을 활용해 악성 파일의 실행 행위를 실시간으로 식별해야 하며, 백신 프로그램으로 악성 코드 초기 유입을 탐지
- 기관과 기업은 내부 정보 유출 방지를 위해 보안 시스템을 강화하고, 보안 교육 및 대응 체계를 구축해야 함
- GSC 문종현 센터장은 "악성 문서 탐지 및 이상 행위를 모니터링해야 한다"고 강조
- 결론
- 북한의 사이버 위협은 점점 더 지능화되고 있으며, 기관과 기업은 보안 시스템을 철저히 점검하고 강화해야 함
- 스피어 피싱을 통한 APT 공격의 피해를 예방하기 위해 체계적인 보안 시스템 구축이 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
Akira 랜섬웨어 분석 (9) | 2024.10.09 |
---|---|
'프로젝트7' 개인정보 요구 논란에 대한 제작진 입장 (7) | 2024.10.09 |
북한 해커 조직 김수키, 독일 방산업체 ‘딜 디펜스’ 해킹 시도: K-방산에 미치는 영향과 파장 (4) | 2024.10.09 |
군 CCTV 해킹 사건 및 보안 문제 (0) | 2024.10.09 |
북한 해커 조직 '김수키', 독일 방산업체 해킹 시도 (0) | 2024.10.09 |