Troll Stealer 탐지: 북한 Kimsuky APT에서 적극 활용 중인 신종 악성코드

악명 높은 북한 정부 지원 해킹 그룹 Kimsuky APT 이 최근 남한을 겨냥한 공격에서 새로 발견된 Golang 기반 정보 유출 도구 Troll Stealer 및 GoBear 악성코드 계열을 활용하는 것으로 발견되었습니다. 이 새로운 악성코드는 사용자 데이터, 네트워크 관련 데이터, 시스템 정보 및 감염된 시스템에서 다른 유형의 데이터를 훔칠 수 있습니다.

Kimsuky 공격 탐지하기: Troll Stealer 및 GoBear 악성코드 사용

2023년은 세계가 글로벌 사이버 전쟁의 문턱에 서 있는 경고 신호로서, 지속적인 위협 그룹(APT) 활동의 증가가 나타난 한 해로 기록되었습니다. 북한 정부 지원의 위협 행위자들이 가장 활동적이고 악명 높은 그룹 중 하나인 상황에서, 조직들은 증가하는 공격 규모에 대응하기 위해 고급 사이버 보안 도구가 필요합니다.

최신 Kimsuky 캠페인을 감지하기 위해 Troll Stealer 및 GoBear 백도어를 활용하여 남한의 조직을 대상으로 삼는 SOC Prime 플랫폼은 28개의 SIEM, EDR, XDR, 데이터 레이크 솔루션과 호환되는 정밀한 탐지 알고리즘 세트를 집계합니다. 모든 규칙은 MITRE ATT&CK v14.1에 매핑되고, 광범위한 메타데이터와 함께 CTI 링크, ATT&CK 참조, 분류 권장 사항 등을 포함합니다.

아래의 탐지 탐색 버튼을 누르고 잠재적인 Troll Stealer 공격 식별을 돕는 전용 탐지 스택으로 심화 탐구하세요.

탐지 탐색

Kimsuky APT가 제기하는 공격을 앞서가는 보안 실무자들을 돕기 위해 SOC Prime 플랫폼은 주목받는 위협 활동과 관련된 악의적 활동을 다루는 광범위한 규칙 셀렉션을 집계합니다. 그룹 식별자를 기반으로 “Kimsuky” 태그로 위협 탐지 마켓플레이스를 검색하거나 이 링크를 따라가세요.

Kimsuky APT 최신 공격 분석

국가 지원의 북한 해킹 그룹, 예를 들어 Lazarus APT or APT37는 최소 5년 동안 사이버 위협 환경에서 요란을 일으켜 왔습니다. S2W는 최근 연구를 발표했으며, 이는 또 다른 악명 높은 북한 그룹과 관련이 있는 것으로 여겨지는 새로운 악성 샘플을 다룹니다. 악명 높은 북한 그룹인 Kimsuky.

로도 알려진 Kimsuky는 APT43, ARCHIPELAGO, Black Banshee, Emerald, STOLEN PENCIL, Thallium, Velvet Chollima 등으로 알려져 있으며 2013년부터 주로 한국을 대상으로 활동해 왔습니다. 2022년 1월 말, 그들은 오픈 소스 RAT와 맞춤형 Gold Dragon 백도어 를 적용하여 한국의 여러 조직을 타격했습니다. 이 백도어는 손상된 시스템에서 데이터를 수동으로 추출하기 위해 xRAT 도구를 다운로드하는 데 사용되었습니다.

가장 최근의 공격에서, Kimsuky는 한국 회사인 SGA Solutions의 합법적인 보안 소프트웨어 설치 프로그램으로 위장된 악성 드로퍼 파일을 사용하여 Troll Stealer를 배포하여 데이터 유출을 시도했습니다. 특히 드로퍼는 악성코드를 함께 배포하면서 합법적인 설치 프로그램으로 운영되며, 두 구성 요소 모두 D2Innovation Co., Ltd.의 합법적인 인증서로 서명되어 있어 회사의 인증서가 적대 세력에 의해 도난당했음을 암시합니다. Troll Stealer가 감염된 시스템에서 한국 정부 발급 GPKI 인증서를 훔칠 수 있는 능력은 이 악성코드가 한국 공공 부문 조직을 표적으로 삼을 수 있음을 시사합니다.

보안 연구원들은 최근 Kimsuky 활동을 BetaSeed 악성코드와의 적대 세트에서 사용된 명령과 동일한 명령을 적용하는 유사한 인증서를 공유하는 GoBear 백도어 사용과 연결합니다. 특히, GoBear는 이전에 Kimsuky의 백도어 악성코드 기능과 연결되지 않았던 SOCKS5 프록시 기능을 도입했습니다.

다수의 산업 부문, 특히 정부 기관들을 포함한 남한 조직에 대한 여러 위험이 증가함에 따라, 방어자들은 시의적절한 목표 APT 공격을 사전에 방지하기 위한 사이버 보안 전략을 시행할 방법을 찾고 있습니다. SOC Prime을 탐색하여 다양한 APT 공격에 대한 500개 이상의 탐지 알고리즘 을 만나보세요. 적극적인 사이버 방어를 위한 것입니다.