북한 김수키 해커조직, 논문파일 위장한 악성코드 유포

최근 북한 해커조직 김수키(Kimsuky)의 피싱 메일 공격이 포착됐다. 해커조직은 교수 대상으로 논문 심사 요청을 가장했다.

해커조직은 메일에 악성 OLE 개체가 삽입된 한글 문서 파일을 첨부해 파일 실행을 유도했다. 문서를 열면 임시 폴더(%TEMP%) 경로에 6개 파일이 자동으로 생성된다. 문서 본문에 포함된 “더보기…” 문장에는 악성 파일(“peice.bat”)을 실행하는 하이퍼링크가 삽입돼 있다.  

악성 파일이 실행되면 생성한 파일들을 특정 경로에 악성 OLE 개체가 삽입된 한글 문서 파일 삭제, "러.우 전쟁을 통해본 밀리테크와 미래전쟁 대비방향.hwp"로 변경, 스케줄러 등록, 사용자 시스템의 프로세스 목록과 설치된 백신(AV) 정보 수집 등을 수행한다.

김수키 조직은 과거부터 타인을 사칭해 특정인을 대상으로 한 APT 공격을 지속적으로 수행해 왔다. 최근에는 정상 소프트웨어를 공격에 악용하거나, 구글, 드롭박스 등 공유 드라이브를 C2(Command and Control) 저장소로 활용하는 사례가 늘고 있다.

이러한 APT 공격은 주로 대상자의 업무나 관심사와 관련된 내용으로 위장되어 있어, 사용자가 악성코드에 감염될 위험이 크다. 따라서 출처가 불분명한 파일은 실행을 자제하고, 파일의 확장자를 반드시 확인하는 등 각별한 주의가 필요하다.

Related Materials

• Kimsuky APT 그룹의 Storm 작전과 BabyShark Family 연관분석 - 지니언스 위협 분석 보고서, 2023년 10월
• Operation Covert Stalker: Kimsuky 조직의 공격 및 악성코드 유포 분석 - AhnLab 위협 분석 보고서, 2023년 11월
• 美 정부, '北 Kimsuky 해킹' 합동 보안권고문 발표 - 국가사이버안보센터, 2024년 5월