일본 기관을 겨냥한 Kimsuky APT 캠페인 탐지

2024년 초봄부터, 악명 높은 북한 연계 해킹 집단으로 추적되는 Kimsuky APT 가 한국의 학술 기관에 대한 표적 캠페인을 시작했습니다.방어자들은 또한 일본 조직을 적극적으로 공격하는 그룹의 공격 작전을 공개했습니다. 진행 중인 적 캠페인은 보안 또는 외교 기관으로 가장한 발신자의 피싱 공격 벡터를 토대로 하고 있습니다.

일본을 겨냥하는 Kimsuky 공격 탐지

북한의 Kimsuky APT 그룹은 특히 동아시아에서 공격의 볼륨과 정교함을 높이고 있습니다. Kimsuky의 최근 캠페인은 악성 툴킷을 지속적으로 향상시키면서, 데이터를 탈취하기 위해 TRANSLATEXT Chrome 확장을 사용하고 새로운 Gomir라는 Linux 백도어 를 도입하여 한국 및 인접 국가의 기관을 대상으로 삼았습니다.

최근 보안 연구원들은 일본을 적극적으로 표적화하는 또 다른 Kimsuky 캠페인을 발견하여, 관심 있는 네트워크에 침투하기 위한 복잡한 감염 체인을 사용하고 있음을 밝혔습니다. 관련 공격을 파악하기 위해 SOC Prime Platform은 이 캠페인에서 적이 사용하는 TTP를 다루는 사전 라이브레이션 탐지를 제공합니다.

아래의 탐지 탐색 버튼을 누르면 전용 시그마 규칙 세트로 즉시 상세 분석할 수 있습니다. 모든 규칙은 30개 이상의 SIEM, EDR 및 데이터 레이크 기술과 호환되며 MITRE ATT&CK® 프레임워크에 매핑되어 있습니다. 추가로 탐지는 위협 인텔 참조, 공격 타임라인 및 초기 대응 추천을 포함한 광범위한 메타데이터로 풍부하게 제공됩니다.

탐지 탐색

Kimsuky의 TTP를 더 세부적으로 분석하고자 하는 보안 전문가는 위협 탐지 마켓플레이스 에서 “Kimsuky” 태그를 검색하거나 이 링크 를 따라가 해킹 집단과 관련된 모든 규칙에 접근할 수 있습니다.

일본 조직을 공격하는 Kimsuky: 캠페인 분석

2024년 3월에 JPCERT/CC는 악명 높은 북한 연계 Kimsuky APT 단체 가 주요 대상으로 일본 조직을 노리고 있는 새로운 악의적 활동을 발견했습니다. 한국 학술 분야에 대한 공격 캠페인뿐만 아니라, Kimsuky 해커는 피싱 공격 벡터를 사용하여 일본의 조직에 EXE 및 DOCX 파일을 보내고 손상된 장치에서 민감한 데이터를 탈취하려고 합니다.

감염 흐름은 보안 및 외교 기관을 사칭하는 스피어 피싱 이메일에 의해 촉발됩니다. 이메일은 이중 파일 확장명을 포함한 무기화된 파일과 확장명을 숨기기 위해 각 파일 이름에 많은 빈 공간을 포함해서 보냅니다. 실행되면, 주요 EXE 파일은 외부 소스에서 VBS 파일을 다운로드하며 이는 wscript.exe를 사용하여 실행됩니다. VBS 파일은 PowerShell 스크립트를 외부 소스에서 다운로드하고 PokDoc 기능을 호출합니다. 같은 악성 VBS 파일은 레지스트리 Run 키에 숨겨진 파일을 자동으로 실행하여 지속성을 확보합니다.

VBS 파일이 다운로드하는 PowerShell은 키로거로 작동하여 대상 장치의 시스템 및 네트워크 세부 정보, 특정 사용자 폴더 내 파일 목록, 사용자 계정 데이터를 탈취하려고 합니다. 적들은 수집된 데이터를 미리 설정된 URL로 전송하여 실행 환경이 샌드박스나 분석 시스템인지 확인합니다. 또한 이 스크립트는 공용 디렉터리에 다른 VBS 파일을 생성합니다. 실행되면 추가적인 PowerShell 코드를 다운로드하고 특정 매개변수를 가진 InfoKey 함수를 호출하여 탐지를 회피하고 공격자들이 은밀한 지속성을 유지하도록 돕습니다.

Kimsuky는 보안 조치를 우회하고 레이더 아래로 남기 위해 계속해서 새로운 공격 기능을 실험하며, 계속해서 공격의 정교함을 높입니다. 조직은 사이버 경계를 강화하여 이러한 공격에 대비하는 것이 중요합니다. SOC Prime의 AI 기반 탐지 엔지니어링, 자동화된 위협 헌팅, 탐지 스택 검증을 위한 완전한 제품군 은 보안 팀에게 가장 도전적인 조직의 위협을 최소화하기 위한 선제적 사이버 방어의 최첨단 솔루션을 제공합니다.