DEEP#DRIVE 공격 흐름 (출처: Securonix)

새로운 공격 캠페인 ‘DEEP#DRIVE’ 

최근 사이버 보안 연구자들은 북한의 해킹 그룹인 Kimsuky가 새로운 사이버 공격 캠페인인 DEEP#DRIVE를 수행하고 있음을 발견했습니다. 이 공격은 주로 한국의 기업, 정부 기관 및 암호화폐 사용자를 대상으로 하며 정교한 피싱 공격과 악성 파일 배포 기법을 사용하여 시스템을 침투하고 정보를 탈취하는 방식으로 진행됩니다. 

공격자들은 신뢰할 수 있는 문서 파일 형식인 한글(.hwp), 엑셀(.xlsx), 파워포인트(.pptx) 등을 악용하여 악성 파일을 위장하고 있습니다. 피해자는 이 파일을 실행하면 자신도 모르게 악성 코드에 감염되며 이후 공격자는 피해자의 시스템에 침투하여 다양한 정보를 수집하고 외부로 전송합니다. 이러한 공격 방식은 사회공학적 기법을 활용하여 피해자가 의심 없이 파일을 열도록 유도하는 것이 특징입니다. 

피싱 미끼 (출처: Securonix)

DEEP#DRIVE 공격 분석

공격자들은 한국어 맞춤형 피싱 미끼를 이용해 종신안내장V02_곽성환 D.pdf.pdf와 같은 .lnk(바로가기) 파일을 문서 파일로 위장하여 배포합니다. 사용자가 이를 실행하면 악성 스크립트가 자동 실행되며 추가 악성 코드가 다운로드됩니다. 

공격자는 감염된 시스템에서 지속적인 접근을 유지하기 위해 ChromeUpdateTaskMachine이라는 이름의 Windows 작업 스케줄러 작업을 생성합니다. 이를 통해 악성 스크립트가 정기적으로 실행되도록 설정하여 가해자가 시스템을 재부팅 하더라도 공격이 계속될 수 있도록 합니다. 

또한, 공격자는 감염된 시스템에서 PowerShell 기반 악성 스크립트 (system_first.ps1)를 실행해 IP 주소, 운영 체제 정보, 백신 제품, 실행 중인 프로세스 등의 데이터를 수집합니다. 이후 이를 신뢰할 수 있는 클라우드 서비스인 Dropbox로 전송하여 보안 탐지를 우회합니다. 이는 보안 시스템이 Dropbox와 같은 합법적인 서비스의 트래픽을 차단하지 않는 점을 악용한 전략입니다. 

결론  

DEEP#DRIVE 캠페인은 정교한 피싱 공격과 악성 코드 유포 기법을 결합하여 신뢰할 수 있는 플랫폼을 악용하는 특징을 가지고 있습니다. 특히, 한국어 기반의 맞춤형 공격을 활용하고 Dropbox와 같은 합법적인 서비스를 악용해 탐지를 우회함으로써 보안 대응을 더욱 어렵게 만들고 있습니다. 이러한 위협은 기존 보안 솔루션만으로 완벽히 차단하기 어려우며 조직 차원의 선제적 대응과 지속적인 보안 모니터링이 반드시 필요합니다. 따라서 보안 인식 교육 강화, 악성 코드 탐지 시스템 도입, 클라우드 서비스 모니터링 강화 등 다층적인 보안 전략이 요구되며 지속적으로 발전하는 사이버 위협에 대응하기 위해 최신 보안 동향을 파악하고 철저한 대비책 마련이 필 수적입니다. 

대응 방안 

• PowerShell 사용 제한 

• Dropbox를 포함한 클라우드 서비스 모니터링 

• 사용자 피싱 이메일 교육 

• 보안 업데이트 및 백신 프로그램 실행 

• Windows 작업 스케줄러의 비정상적인 작업 생성 및 실행 차단