Kant's IT/Issue on IT&Security

북한 해커 조직 김수키, '블루샤크' 전술로 APT 공격 감행

Kant Jo 2024. 10. 9. 22:10

北 김수키 해커그룹, ‘블루샤크’ 전술로 APT 공격 감행

 

北 김수키 해커그룹, ‘블루샤크’ 전술로 APT 공격 감행

2024년 상반기 동안 한국을 주요 거점으로 활동한 다양한 APT(지능형 지속위협) 공격이 관찰된 가운데, 북한의 해커조직 김수키(Kimsuky)가 이른바 ‘블루샤크(BlueShark)’ 전술로 APT 공격을 펼친 것으

www.boannews.com

 

“강의 부탁드립니다”…北 해킹조직, 특강 요청 위장한 스피어피싱 공격

 

“강의 부탁드립니다”…北 해킹조직, 특강 요청 위장한 스피어피싱 공격

북한 해킹그룹 김수키가 한국을 주요 거점으로 지능형지속위헙(APT) 공격을 이어오고 있다. 특히 김수키는 강연의뢰서 등으로 위장한 악성파일(문서)로 국내에서 활동하는 북한 전문가를 타깃으

www.etnews.com

 

  • 김수키 조직의 APT 공격
    • 북한의 김수키(Kimsuky) 해커 조직이 블루샤크(BlueShark) 전술로 지능형 지속위협(APT) 공격을 감행
    • LNK, ISO, MSC, HWP 등 다양한 유형의 악성파일을 활용해 국내 및 해외의 주요 기관과 기업을 타깃으로 함
    • 강연 의뢰, 인터뷰 요청, 특강 등의 명목으로 접근하여 악성 파일을 포함한 메일 발송
  • 공격 수법
    • PDF 파일, Word 문서, 한글 문서, MSC 관리 콘솔 파일 등을 사용해 악성 코드를 삽입
    • 구글 드라이브, 원드라이브(OneDrive), 프로톤 드라이브(Proton Drive)클라우드 서비스를 통해 악성 파일을 배포
    • 공격자는 이메일로 스피어 피싱(Spear Phishing)을 통해 접근하며, 수신자의 회신과 반응에 따라 본격적으로 단말 침투 공격을 시작
  • 블루샤크 전술 분석
    • 지니언스 시큐리티 센터(GSC)는 블루샤크 전술을 통해 김수키 조직이 다양한 피싱 공격 시나리오를 사용했다고 분석
    • 특강 요청 등의 메일에 압축 파일을 첨부해, 내부에 LNK 바로가기 악성 파일을 포함
    • 문서 파일은 정상 파일로 위장해 사용자에게 신뢰를 주고, 피싱 사이트로 유도해 계정 정보를 탈취
  • 악성코드 유포 방식
    • 공격자는 디스크 이미지 파일(ISO)에 악성 코드를 포함시켜 유포
    • MSC 파일을 통해 명령제어(C2) 서버와 연결 후 추가적인 명령을 수행
    • OLE 개체 연결을 악용해 정상 문서를 미끼로 사용, 시스템에 악성 코드를 설치하고 원격으로 시스템 장악
  • 대응 방안
    • EDR 시스템 등을 활용해 악성 파일의 실행 행위를 실시간으로 식별해야 하며, 백신 프로그램으로 악성 코드 초기 유입을 탐지
    • 기관과 기업내부 정보 유출 방지를 위해 보안 시스템을 강화하고, 보안 교육 및 대응 체계를 구축해야 함
    • GSC 문종현 센터장은 "악성 문서 탐지 및 이상 행위를 모니터링해야 한다"고 강조
  • 결론
    • 북한의 사이버 위협은 점점 더 지능화되고 있으며, 기관과 기업보안 시스템을 철저히 점검하고 강화해야 함
    • 스피어 피싱을 통한 APT 공격의 피해를 예방하기 위해 체계적인 보안 시스템 구축이 필요