Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향북한의 APT 그룹, 한국 정부기관 대상으로 한 해킹 활동 발견되다.
작성일 2021-06-03 조회 2726

2012년부터 활동 중인 북한의 APT 그룹이 민감한 정보를 수집하기 위해 안드로이드, 윈도우 백도어를 전파하고 있다. 이는 한국의 고위 정부 관계자들을 겨냥한 새로운 첩보활동이라고 연구원이 알렸다.

 

보안 업체인 Malwarebytes는 이번 활동의 주 목표가 KISA, 외교부, 스리랑카 대사, 국제원자력기구, 부영사 등으로 여러 단체를 노린 것으로 보고있다. 이번 사태는 북한 정권을 대표해 활동하는 것으로 추정되는 Kimsuky로 보고있으며 이전부터 미국, 러시아, 유럽 등지로 활동 영역을 넓혀가고 있는 단체다.

 

작년 11월, 공격자는 "KGH_SPY"라는 새로운 스파이웨어 모듈을 통해 네트워크 정찰을 수행과 키로깅을 통해 기밀 정보 도난, "CSPY Downloader" 명칭을 가진 새로운 악성코드를 유포하기도 했는데 연구원들은 이번 공격에서 해당 악성코드와의 연관성을 찾았다고 밝혔다.

 

Kimsuky 의 공격 인프라는 피해자들을 속일 목적으로 Gmail, Microsoft Outlook, Telegram 등 잘 알려진 곳을 모방해 다양한 피싱 웹 사이트를 제작했다. MalwareBytes는 "Kimsuky가 추후 피싱 활동을 진행할 때 사용되는 주요 수단으로 사용된다." 고 설명했다. 이들은 악성코드가 첨부된 메일을 지속적으로 유포하고 최종적으로 AppleSeed라는 악성코드를 설치하는게 목표다. 또한, 플랫폼을 맞춰 Windows, Android 전용으로 제작하기도 했다.

 

AppleSeed는 키로깅, 스크린샷 캡쳐, 특정 확장자를 가진 파일(문서)를 수집해 공격자의 서버로 업로드 하는 등 일반적인 백도어 악성코드의 특징을 모두 갖추고 있다.

 


[그림1. 악성코드 구조]

 


[그림2. 악성코드 구조2]

 

 

 

MalwareBytes는 "가장 흥미로웠던 발견은 악성코드의 소스 코드에서 공격자가 자신들을 탈륨이라고 부른다는 것이다. 해당 명칭은 Microsoft가 국가간의 해킹 그룹을 화학 원소의 이름을 따서 명명했던 건데 공격자들은 이를 어지간히 마음에 들었던 것 같다." 고 설명했다.

 

출처

 

https://thehackernews.com/2021/06/researchers-uncover-hacking-operations.html

 

https://blog.malwarebytes.com/threat-analysis/2021/06/kimsuky-apt-continues-to-target-south-korean-government-using-appleseed-backdoor/

첨부파일 첨부파일이 없습니다.
태그 북한  Kimsuky