DEEP#GOSU 공격 캠페인 탐지: 파워쉘과 VB스크립트 악성코드를 이용한 공격 뒤에 북한의 Kimsuky APT가 있을 가능성
목차:
악의적인 사이버 스파이 활동을 벌이는 북한의 Kimsuky APT 그룹 은 최소한 2012년부터 사이버 위협 환경에서 주목받아왔습니다. DEEP#GOSU로 추적된 Kimsuky 계열의 새로운 다단계 공격 캠페인이 헤드라인을 장식하며 Windows 사용자를 위협하고, PowerShell 및 VBScript 악성 소프트웨어를 활용하여 대상 시스템을 감염시킵니다.
DEEP#GOSU 공격 캠페인 탐지
작년은 APT 행위자들의 활동이 크게 강화된 해로, 기존의 지정학적 긴장이 사이버 도메인에 미치는 직접적인 영향을 반영합니다. 이번에는 사이버 보안 전문가들이 악명 높은 Kimsuky APT의 지속적인 악의적 캠페인에 대해 조직과 개인 사용자들에게 경고하고 있으며, DEEP#GOSU 작전 과정에서 광범위하고 은밀한 접근을 얻기 위해 점점 더 Windows 사용자를 타겟으로 하고 있습니다.
능동적으로 대응하고 침입 가능성을 초기 개발 단계에서 식별하려면, 사이버 방어자는 고급 위협 탐지 및 사냥 솔루션이 필요하며, 이를 위해 SOC Prime Platform은 DEEP#GOSU 탐지를 목표로 한 데이터 탐지 스택을 집계하여 최신 도구의 방대한 수집을 제공하여 위협 조사를 가속화합니다.
아래의 탐지 탐색 버튼을 클릭하면 즉시 28개의 SIEM, EDR, XDR 및 데이터 레이크 솔루션과 호환 가능한 관련 Sigma 규칙 모음으로 이동합니다. 모든 규칙은 MITRE ATT&CK v14.1 에 매핑되어 상세한 위협 인텔리전스와 광범위한 메타데이터와 함께 제공됩니다.
보안 실무자가 Kimsuky APT에 의해 시작된 공격을 앞서 나가도록 돕기 위해 SOC Prime Platform은 주목받는 위협 행위자와 관련된 악의적인 활동을 포괄하는 더 넓은 범위의 규칙을 수집합니다. 그룹 식별자를 기반으로 ‘Kimsuky’ 태그를 검색하거나 이 링크.
DEEP#GOSU 멀웨어 캠페인 분석
Securonix Threat Research 팀은 최근 DEEP#GOSU로 확인된 진행 중인 공격 작전를 밝히며, 이는 악명 높은 북한의 Kimsuky 그룹과 높은 연관성이 있는 것으로 보입니다. 계열 위협 행위자들은 사이버 스파이 활동에 강력히 초점을 맞춘 다수의 타겟팅된 캠페인에서 관찰되었습니다.
마지막 캠페인에서 적들은 새로운 정교한 스크립트 기반 공격 체인을 활용하여, 여러 PowerShell 및 VBScript 단계를 통해 Windows 시스템에 은밀히 침입하고 민감한 데이터를 수집합니다. 공격 능력은 데이터 유출, 키로깅, 클립보드 모니터링 및 동적 페이로드 실행을 포함합니다. 적들은 예약 작업을 통해 지속성을 유지하고 자체 트리거 PowerShell 스크립트와 RAT 소프트웨어를 사용하여 전방위적인 원격 제어를 획득합니다.
특히 감염 단계는 Dropbox 또는 Google Docs와 같은 합법적인 서비스를 C2에 활용함으로써, 적들이 정상적인 네트워크 트래픽 내에서 자신들의 악의적인 작업을 위장하며 탐지를 회피할 수 있도록 합니다. 게다가 이러한 클라우드 서비스를 사용하여 페이로드를 호스팅하면 멀웨어 기능 업데이트나 보조 모듈 제공이 용이해집니다.
감염 체인은 무기화된 이메일 첨부 파일을 포함한 ZIP 아카이브를 열어야 작동합니다. 이는 PDF 파일로 가장된 속임수 바로가기 파일을 포함합니다. 악성 LNK 파일은 PowerShell 스크립트를 내장하고 있으며, 미끼 PDF 문서가 포함되어 있습니다. 이 스크립트는 공격자들에 의해 제어되는 Dropbox 인프라와 통신하여 다른 PowerShell 스크립트를 가져와 실행합니다.
그 후속 PowerShell 스크립트는 Dropbox에서 다른 파일을 가져옵니다. 후자는 TruRat(다른 이름으로는 TutRat 또는 C# R.A.T.)이라는 오픈 소스 RAT의 바이너리 형태의 .NET 어셈블리입니다. 이 악성 코드 외에도 PowerShell 스크립트는 감염된 시스템에서 명령을 실행하고 지속성을 위한 스케줄 작업을 설정하기 위해 의도된 해로운 VBScript 파일을 가져옵니다.
게다가, 이 멀웨어 캠페인에 사용된 VBScript는 Google Docs를 악용하여 Dropbox 연결을 위한 구성 데이터를 동적으로 가져옵니다. 이는 스크립트를 직접 변경하지 않고도 적들이 계정 정보를 수정할 수 있게 해줍니다. 다운로드된 PowerShell 스크립트는 포괄적인 시스템 정보를 수집하고 이 데이터를 POST 요청을 통해 Dropbox로 제출하여 유출합니다. 이는 백도어로 작동하여 감염된 호스트에 대한 제어 권한을 부여하고 사용자 활동을 지속적으로 기록합니다.
정교한 DEEP#GOSU 캠페인에서 사용된 은밀한 멀웨어의 위험과 영향을 최소화하고 유사한 위협을 효과적으로 방지하려면 방어자는 외부 소스에서 파일이나 첨부 파일을 다운로드하는 것을 피하고, 이상 활동을 지속적으로 모니터링하며 탐지 범위를 강화하는 등의 최고의 보안 관행을 적용하는 것이 권장됩니다.
여러 산업 부문의 조직에 잠재적인 위협을 가하는 Kimsuky APT의 정교한 공격 급증으로 인해 방어자들은 목표로 한 APT 침입을 적시에 막기 위해 선제적 사이버 보안 전략을 구현할 방법을 찾고 있습니다. SOC Prime의 Attack Detective을 활용하여 보안 엔지니어는 적들이 공격하기 전에 탐지 절차를 최우선시하여 사이버 방어 사각지대를 적시에 식별하고 이를 해결하기 위한 적절한 데이터 수집을 통해 조직의 사이버 보안 태세를 강화하고 SIEM ROI를 최적화할 수 있습니다.
