Kimsuky APT 공격 탐지: 북한 해커가 TRANSLATEXT 크롬 확장 기능을 악용하여 민감한 데이터 탈취

북한과 연계된 악명 높은 위협 행위자로 알려진 Kimsuky APT 그룹 은(는) TRANSLATEXT라는 새로운 악성 구글 크롬 확장을 사이버 스파이 활동에 활용하여 민감한 사용자 데이터를 불법적으로 수집합니다. 2024년 초봄에 시작된 ongoing 캠페인은 주로 한국의 학술 기관을 타깃으로 하고 있습니다.

TRANSLATEXT를 활용하는 Kimsuky 캠페인 탐지

APT 위협이 증가하면서 지정학적 긴장이 심화되고 있으므로, 보안 전문가들은 차세대 도구를 활용하여 고급 위협 탐지 및 헌팅을 통해 잠재적 공격에 대비해야 합니다.

SOC Prime 플랫폼에 의존하여 APT를 포함한 최신 사이버 스파이 활동과 관련된 의심스러운 활동을 적극적으로 식별하는 공동 사이버 방어에 참여하십시오. 그중 Kimsuky 가 TRANSLATEXT 확장을 악용하여 민감한 데이터에 대한 액세스를 확보하고 있습니다. 아래에는 악성 크롬 확장의 설치를 확인하기 위한 Sittikorn Sangrattanapitak 개발자의 전용 Sigma 규칙이 있습니다. Sittikorn Sangrattanapitak에 의해 개발된 전용 Sigma 규칙입니다.

명령어 라인을 통한 관련 명령어 탐지를 통해 Kimsuky TRANSLATEXT가 한국을 타깃으로 삼고 있는 여부를 확인합니다.

이 규칙은 27개의 SIEM, EDR 및 데이터 레이크 솔루션과 호환되며 MITRE ATT&CK® 프레임워크에 매핑됩니다. 또한, 관련 메타데이터와 CTI 참조를 통해 위협 조사를 간소화합니다.

Kimsuky APT에 관련된 더 많은 탐지 컨텐츠를 찾고 있는 보안 전문가는 위협 탐지 마켓플레이스에 집계된 더 광범위한 Sigma 규칙 스택에 액세스할 수 있습니다. 아래 탐지 탐색 버튼을 클릭하여 규칙 컬렉션을 즉시 탐색할 수 있으며, 새로운 탐지가 매일 추가됩니다.

탐지 탐색

경험이 많은 위협 헌터, DFIR 전문가, Sigma 규칙 전문가, 또는 공동의 이익을 도모하려는 SOC 분석가라면 SOC Prime의 세계 최초의 탐지 엔지니어링 크라우드소싱 이니셔티브에 참여할 수 있습니다. 개인의 재능을 발휘하고 탐지 엔지니어링 및 위협 헌팅 기술을 향상시키며 기술 전문성을 확장하고 기여에 대해 재정적 이익을 얻으려면 위협 현상금 프로그램 멤버가 되십시오.

TRANSLATEXT Chrome 확장을 이용한 Kimsuky와의 연결된 공격 분석

2024년 초봄부터 Zscaler ThreatLabz는 Kimsuky APT 그룹과 법적으로 관련된 하향식 활동 을 주시하고 있으며, 주로 북한 관련 정치 연구에 중점을 둔 한국 학술 산업 부문을 목표로 합니다. Kimsuky는 APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, TA406 등의 이름으로 추적되는 북한 기반의 해킹 그룹으로, 지난 10여 년 동안 한국 관련 기관을 목표로 한 사이버 스파이 및 금융 동기의 공격으로 악명이 높습니다. 최신 캠페인에서 적대세력은 Google 번역기로 위장한 TRANSLATEXT라는 유해한 Google Chrome 애드온을 무기로 사용하여 이메일 주소, 자격 증명, 쿠키를 수집하거나 웹 브라우저에서 스크린샷을 캡처합니다.

2024년 3월 첫 주에 Kimsuky는 TRANSLATEXT를 자신들이 제어하는 GitHub 저장소에 업로드했습니다. 이 확장은 주요 이메일 제공업체의 보안 조치를 우회하여 민감한 정보를 추출합니다.

공격 흐름은 한국 군사 역사 데이터를 포함하는 것처럼 위장한 ZIP 아카이브부터 시작됩니다. 이 아카이브에는 Hangul 워드 프로세서 형식의 문서와 실행 파일 두 개의 파일이 있습니다. 실행 파일을 실행하면 적대적 서버에서 PowerShell 스크립트를 다운로드하게 됩니다. 이 후 GitHub 저장소로 감염된 피해자 정보를 보내고 LNK 파일을 사용하여 추가 PowerShell 코드를 다운로드합니다.

최신 Kimsuky 캠페인 관련 위험을 완화하기 위해 신뢰할 수 없는 소스로부터의 프로그램 설치를 피하는 것이 권장됩니다. 신흥 위협 앞서 준비하고 최신 위협과 데이터를 보호하려면 SOC Prime의 완전한 제품군 을 활용하여 AI 기반 탐지 엔지니어링, 자동화된 위협 탐지 및 탐지 스택 검증을 통해 사이버 보안을 강화하십시오.