미국의 북한 관련 단체들 공격하기 시작한 북한의 킴수키 그룹

기사 요약

 

북한의 핵과 경제 제재와 관련된 미국의 단체들을 공격 대상으로 한 고급 공격 캠페인이 발견됐다.

이 캠페인은 '가을 조리개(Autumn Aperture)'라는 이름이 붙었고, 북한의 킴수키(Kimsuky)라는 해킹 단체가 배우에 있는 것으로 보인다.

 

악성 문서는 피해 조직들이 자연스럽게 열어볼 만한 것들이었고, 이메일 자체도 매우 정교하게 만들어졌다.

피해자들이 속아서 문건을 열 경우 매크로를 활성화하라는 안내 창이 뜨게 되고, 활성화하면 정상적인 문서가 출력되지만, 백그라운드에서는 멀웨어가 몰래 설치되기 시작한다.

 

공격자들은 탐지되는 것을 피하기 위해서 "윈도우 기반 운영체제에서의 관리 인프라인 윈도우 관리 도구(Windows Management Instrumentation, WMI)"를 호출해서 현재 돌아가고 있는 프로세스를 목록화하고, 이를 블랙리스트 처리돼 어 있는 백신 프로세스와 비교해서 점검한다. 

 

이번 캠페인은 소셜 엔지니어링 공격을 통해 피해자들이 특정한 행동을 하도록 유도하고, 단계적으로 조심스럽게 멀웨어를 설치하는 것이 모든 공격 단체들 사이에서 나타나는 특징이다. 

 

보안 업체인 프리베일리온(Prevailion)은 미국의 여러 단체들을 향한 공격이 당분간 계속 이어질 거라고 전망했다.

https://www.boannews.com/media/view.asp?idx=83004&kind=

미국의 북한 관련 단체들 공격하기 시작한 북한의 킴수키 그룹

 

관련 뉴스

네이버 로그인 사이트 가장한 '스피어피싱' 주의(19.07.11)

https://www.zdnet.co.kr/view/?no=20190711092819

네이버 로그인 사이트 가장한 '스피어피싱' 주의

표적화된 이메일 공격을 멈추기가 어려운 이유 "스피어 피싱의 이해"(19.01.30)

http://www.itworld.co.kr/news/116049

표적화된 이메일 공격을 멈추기가 어려운 이유

美 제재, 北'라자루스' 해킹조직 …韓 공격은 '현재 진행형'(19.09.16)

http://www.inews24.com/view/1208453

美 제재, 北'라자루스' 해킹조직 …韓 공격은 '현재진행형'

Commentary.....

요즘 뉴스를 찾아보면 북한의 킴수키 단체가 자주 말썽을 일으키는 것 같다. 그리고 주로 공격되는 방법은 소셜 엔지니어링 공격이다. 이 점을 보면 아무리 프로그램이나 정책을 강화해도 결국 사람이 만들고 사람이 사용하는 것이기 때문에 결국 사람이 방심을 하면 언제나 뚫릴 수 있는 것이 보안인 것 같다. 항상 경각심을 가지고 보안 활동의 일상화가 되도록 다 같이 노력해야 할 거 같다. 절대 뚫을 수 없는 보안은 없다.