통신사 인터뷰 요청 위장 이메일 접근 화면(출처 : GSC)

LNK를 통해 실행되는 파워쉘 명령어 

외신 인터뷰 의뢰 사칭 김수키 공격 발견 

김수키 그룹이 페이스북 정찰을 통해 추가 공격 대상자 탐색 후, 스피어 피싱으로 은밀히 공격 중인 정황을 포착했습니다. 

김수키 그룹은 MS관리콘솔을 이용한 공격을 지속하고 있으며, 현재 3종의MSC 악성파일이 추가 발견됐지만, 발견되지 않은 더 많은 변종이 있을 것으로 추정됩니다. 

해당 파일은 전세계 645개의 보안 및 백신 프로그램에서 탐지되고 있지 않고있으며, MSC 파일 내 Powershell 작업 명령 매개변수를 통해 C2 호스트‘profilepimpz[.]com’ 도메인을 통해 MSI 유형의 PlugX(aka KorPlug) 악성파일이 설치됩니다. 

Kimsuky 그룹의 MSC, HWP 기반 공격 흐름도 

공격 시나리오 

이번 김수키 APT 캠페인 건은 하나의 공격 시나리오로 단정해 설명하기 어렵습니다. 해당 위협 행위자들의 여러 사이버 작전 활동에 연속성과 복잡성이 보이기 때문입니다. 

지난 번 공격 시나리오가 북한 인권분야 공직자 사칭의 페이스북 계정이 악용됐다면, 금번 사례는 외신 통신사 소속의 신분처럼 위장한 이메일로 복수의 북한 인권 활동가에 접근한 점이 다릅니다. 

이처럼 두 케이스 모두 ‘북한 인권 분야‘라는 공통점이 있고, hwp 악성 문서와함께 ‘MS 관리 Console’ 프로그램을 통해 실행되는 ‘MS Common Console 문서(msc)’가 활용된 특징이 있습니다. 

요즘 추세는 정상 내용의 질문 및 협조 요청을 담아 오랜기간 신뢰와 친밀도를유지하며 대화하는 이른바 반응형 투트랙 스피어 피싱 공격이 늘어나는 추세입니다. 

결론 

2분기에 들면서 HWP 문서내 악성 OLE를 삽입한 공격 사례가 조금씩 발견되고 있습니다. 물론, LNK 바로가기 유형의 악성 코드는 5월까지 꾸준히 보고됐습니다. 특히, MSC 관리콘솔을 이용한 위협이 연이어 식별된 것은 매우 주목할 점입니다. 이른바 ‘백신프로그램’의 탐지율이 저조한 것도 그만큼 널리 알려지지 않았기 때문입니다. 김수키 그룹이 MSC 관리콘솔 명령을 국지적 APT 공격에 적극 활용한 이유는 시그니처(패턴) 기반의 보안 탐지 회피 전략으로 평가됩니다. 국가배후 위협그룹은 단말에 설치된 백신 프로그램의 탐지를 회피하는 노력을 꾸준히 진행 중입니다. 특히, MSC 기반 공격이 증가하고 있어 각별한 주의가 필요합니다. 

APT 공격에 대한 보안 권장 사항 

• 스피어 피싱으로 메일 공격이 들어오기 때문에 의심스러운 메일은 신고 및 차단을 해주는 것이 중요하다. 

• C2 서버와 통신을 차단하기 위해 IP 차단을 진행해야 한다.(C2 IP : 89.40.173[.]131, 46.252.150[.]82) 

• 각 기관에서는 클라우드 저장소에 대한 정책을 검토 및 계정의 비밀번호 관리 정책을 검토해야 한다. 

• Anti-Virus 제품의 업데이트를 최신화 해야 한다.