Kimsuky APT의 새로운 캠페인 탐지: 북한 해커들이 지속적인 사이버 공격에서 Microsoft 컴파일된 HTML 도움말 파일을 활용

다음과 같이 즉각적인 대응이 필요합니다 DEEP#GOSU 공격 캠페인 북한 해킹 집단 Kimsuky APT와 관련된 이 그룹은 적 대적 전술을 변화시킴으로써 다시 주목받고 있습니다. 보안 연구원들은 최근 Kimsuky가 Microsoft Compiled HTML Help (CHM) 파일을 악성코드를 유포하고 영향을 받은 인스턴스로부터 민감한 데이터를 수집하는 데 사용하는 것을 관찰했습니다.

Kimsuky APT 최근 공격 감지

지난 몇 달 동안, Kimsuky APT는 그들의 캠페인 범위와 정교함의 증가로 인해 지속적으로 주목받고 있습니다. 전 세계의 사이버 방어자들에게 중요한 위협을 제기하며, Kimsuky는 악재 목표를 달성하기 위해 TTP를 지속적으로 변화시키며 레이더 아래에서 활동합니다.

Kimsuky 공격 가능성에 대비하기 위해 사이버 보안 전문가들은 신뢰할 수 있는 탐지 콘텐츠와 차세대 도구 세트를 통해 보안 운영을 간소화해야 합니다. SOC Prime Platform은 최신 위협 사냥 및 탐지 엔지니어링 솔루션으로 뒷받침된 Kimsuky APT의 최신 악성 캠페인을 다루는 큐레이팅된 Sigma 규칙을 제공합니다.

그냥 클릭하세요 탐지 탐색 하고 최신 Kimsuky의 TTP를 식별하기 위한 광범위한 탐지 스택에 도달합니다. 모든 탐지는 MITRE ATT&CK® 프레임워크 v14.1과 정렬되고 실행 가능한 메타데이터와 큐레이팅된 위협 인텔로 확장되었습니다.

탐지 탐색

SOC Prime Platform은 Kimsuky APT가 제기하는 침입을 사전에 방지할 수 있도록 하기 위해 관련 적 대 활동을 포괄하는 더 넓은 선택의 탐지 알고리즘을 집계합니다. ‘Kimsuky’ 태그를 통해 그룹 식별자 기반으로 검색하거나 Threat Detection Marketplace 을(를) 검색하거나 이 링크.

에서 Kimsuky 활동 개요: 최신 캠페인의 배경

Rapid7 연구원들 이 최근 참신한 활동을 관찰했습니다 악명 높은 북한의 Kimsuky 집단. 이 해킹 집단은 10년 이상 사이버 위협 분야에서 주목받아 왔으며, 주로 정보 수집에 집중하고 있으며 한국 국가 기관, 북미, 아시아 및 유럽의 조직들이 주요 타깃입니다. 연구원들은 Kimsuky의 탐지 회피 노력을 강조하는 업데이트된 계획을 발견했으며, 이는 그룹의 TTP에서 중요한 변화와 진화를 가리킵니다.

Kimsuky는 여러 공격 기법을 실험하며 지속적으로 적 대 도구를 변화시키고 있습니다. 초기에는 Office 문서와 ISO 파일을 무기로 삼았으나 지난해에는 바로 가기 파일을 활용하기 시작했습니다. 예를 들어, 최근 캠페인 ‘ DEEP#GOSU‘에서 Kimsuky는 악성 LNK 파일을 PowerShell 스크립트와 함께 사용하여 감염 체인을 유도했습니다. 최신 악성 캠페인에서는 북한 해커들이 Compiled HTML Help (CHM) 파일을 사용하여 악성코드를 투입하고 손상된 호스트에서 지능적 데이터를 수집합니다.

연구에 따르면, Kimsuky 행위자들은 CHM 파일을 활용하며, 이는 ISO, VHD, ZIP, RAR 아카이브로 배포되어 위협 행위자들이 탐지를 우회할 수 있게 합니다. 위의 파일 중 하나를 추출하고 열면, VBScript가 지속성을 수립하고 원격 서버에 연결되어 민감한 데이터를 수집하고 전송할 수 있는 후속 페이로드를 검색합니다. 원래는 도움말 문서용으로 의도된 CHM 파일은 열릴 때 JavaScript를 실행할 수 있는 능력 때문으로 공격자들에 의해 무장되고 있습니다.

최신 캠페인에서 관찰된 Kimsuky의 지속적인 공격은 주로 한국에 위치한 조직에 초점을 맞추고 있습니다. 연구원들은 또한 배치 파일을 투입하여 정보를 수집하고 PowerShell 스크립트를 통해 C2 서버와 연결하여 데이터를 전송하는 기능을 갖춘 CHM 파일로 시작되는 대체 감염 체인을 공개했습니다.

Kimsuky 사이버 범죄 집단과 연결된 정교한 공격의 증가와 그룹의 지속적인 공격 기법 발전은 방어자들이 사이버 회복탄력성을 강화하고 침입 위험을 최소화하기 위한 사전 조치를 취하도록 장려합니다. SOC Prime의 Attack Detective를 활용하여 선견지명을 가지고 있는 조직은 사이버 방어 맹점을 적시에 찾고 이를 효과적으로 처리하며 그들이 가장 예측하는 공격을 사전에 차단하기 위해 탐지 및 사냥 절차에 우선 순위를 부여할 수 있습니다.