북한 김수키 해커조직, 논문파일 위장한 악성코드 유포
최근 북한 해커조직 김수키(Kimsuky)의 피싱 메일 공격이 포착됐다. 해커조직은 교수 대상으로 논문 심사 요청을 가장했다.
해커조직은 메일에 악성 OLE 개체가 삽입된 한글 문서 파일을 첨부해 파일 실행을 유도했다. 문서를 열면 임시 폴더(%TEMP%) 경로에 6개 파일이 자동으로 생성된다. 문서 본문에 포함된 “더보기…” 문장에는 악성 파일(“peice.bat”)을 실행하는 하이퍼링크가 삽입돼 있다.
악성 파일이 실행되면 생성한 파일들을 특정 경로에 악성 OLE 개체가 삽입된 한글 문서 파일 삭제, "러.우 전쟁을 통해본 밀리테크와 미래전쟁 대비방향.hwp"로 변경, 스케줄러 등록, 사용자 시스템의 프로세스 목록과 설치된 백신(AV) 정보 수집 등을 수행한다.
김수키 조직은 과거부터 타인을 사칭해 특정인을 대상으로 한 APT 공격을 지속적으로 수행해 왔다. 최근에는 정상 소프트웨어를 공격에 악용하거나, 구글, 드롭박스 등 공유 드라이브를 C2(Command and Control) 저장소로 활용하는 사례가 늘고 있다.
이러한 APT 공격은 주로 대상자의 업무나 관심사와 관련된 내용으로 위장되어 있어, 사용자가 악성코드에 감염될 위험이 크다. 따라서 출처가 불분명한 파일은 실행을 자제하고, 파일의 확장자를 반드시 확인하는 등 각별한 주의가 필요하다.
Related Materials
- Kimsuky APT 그룹의 Storm 작전과 BabyShark Family 연관분석 - 지니언스 위협 분석 보고서, 2023년 10월
- Operation Covert Stalker: Kimsuky 조직의 공격 및 악성코드 유포 분석 - AhnLab 위협 분석 보고서, 2023년 11월
- 美 정부, '北 Kimsuky 해킹' 합동 보안권고문 발표 - 국가사이버안보센터, 2024년 5월
북한의 스카크러프트, 랜섬웨어 공격까지 섭렵
💡Editor’s Pick
- 북한 해킹 조직 스카크러프트, VCD 랜섬웨어 활용
- 북한 정권에 필요한 게 돈...스카크러프트에게도 미션 주어진 듯
- APT가 랜섬웨어 공격하면 방어자가 헷갈림 돈과 정보라는 두 가지 토끼를 한꺼번에 노리는 것으로 잘 알려진 북한 APT 조직이, 급기야 랜섬웨어에까지 손을 대기 시작했다. 국가 지원을 받는 고급 해커 이미지의
문가용 기자
북한 해커들, 다채로운 수단 동원해 암호화폐 훔친다
💡Editor’s Pick
- 북한 UNC4899의 공격 전략, 구글이 공개
- 소셜미디어, 위장 취업, 사회 공학, 클라우드 악용... 창의적으로 조합
- 세계 금융계 1위 위협은 북한 해커 구글이 최신 보고서를 통해 북한 해커들이 어떻게 암호화폐를 훔치는지 상세히 고발했다. 특히 UNC4899라고 알려진 해킹 조직을 파헤쳤다. 소셜미디어, 위장 취업, 사회 공학적 공격, 정보
문가용 기자
북한 도와 노트북농장 운영했던 여성, 징역 8.5년
💡Editor’s Pick
- 북한 IT 요원들이 위장 취업 도운 죄
- 결국 8년 6개월 징역형에 일부 벌금형도
- FBI는 기업들 위한 주요 실천 항목 발표하기도 북한의 가짜 IT 요원들을 도운 미국 여성에 대한 최종 판결이 선고되면서 형량도 결정됐다. 다수 매체에 의하면 애리조나에 거주하면서 자택에서 이른 바 ‘노트북농장(laptop farm)’을
문가용 기자
