2020-07-06 08:25 (월)
김수키 해킹조직, 코로나 이슈 및 WSF 기반 악성파일…위협 도구로 활용중
상태바
김수키 해킹조직, 코로나 이슈 및 WSF 기반 악성파일…위협 도구로 활용중
  • 길민권 기자
  • 승인 2020.06.30 14:50
이 기사를 공유합니다

“스크립트 파일 발견할 경우 각별히 주의해야”
코로나 이슈를 적극 활용해 악성코드 유포를 시도하고 있는 '김수키' 조직. 관련 샘플. 이스트시큐리티 제공.
코로나 이슈를 적극 활용해 악성코드 유포를 시도하고 있는 '김수키' 조직. 관련 샘플. 이스트시큐리티 제공.

최근 북한 정부 후원 해킹그룹으로 추정되는 ‘김수키’ 조직이 코로나19 바이러스 관련 내용으로 위장한 문서를 이용해 공격을 시도한 정황이 포착됐다.

마이크로소프트(MS)사는 작년 12월 말, 북한 정부 지원 해킹 그룹으로 추정되는 ‘김수키 그룹’ 일명 ‘탈륨(Thallium)’을 고소하고, 그들이 악용한 웹 사이트 도메인을 통제했다고 밝혔다. ‘김수키’와 ‘탈륨’은 동일 조직이며 한국과 MS에서 부르는 명칭이 다를 뿐이다.

김수키 해킹조직은 최근까지도 '윈도우즈 스크립트 파일(.wsf)' 기반의 공격을 지속적으로 활용하고 있어 이용자들의 각별한 주의가 필요한 상황이다.

이스트시큐리티 ESRC(시큐리티대응센터)는 지난 19일 '김수키(Kimsuky) 조직, 청와대 보안 이메일로 사칭한 APT 공격 수행' 내용을 공개한 바 있다.

이때 발견된 'bmail-security-check.wsf' 스크립트와 같이 공격자들은 wsf 악성 파일을 지속적으로 활용하고 있고, 저희는 '블루 에스티메이트(Blue Estimate)' 캠페인으로 분류하고 있다.

김수키(탈륨) 조직의 APT 캠페인으로는 '블루 에스티메이트'와 함께 2019년 4월에 공개한 바 있는 '스모크 스크린(Smoke Screen)' 사례가 대표적이라 할 수 있다.

또한 ESRC는 최근 김수키 조직이 코로나19 바이러스 관련 내용으로 위장한 문서를 이용해 공격을 시도한 정황을 포착했다. 이들은 wsf 유형의 악성 스크립트를 이용해 공격을 시도한 것으로 분석됐다.

ESRC 분석에 따르면, 스크립트 코드 내부에는 코로나19 관련 정상 hwp 문서 파일과 악성 dll 바이너리 파일이 Base64 코드로 인코딩되어 있다.

악성 스크립트가 실행되면 내부에 인코딩된 파일들이 'ProgramData', 'AutoPatch' 경로 등에 생성되는데, 정상적인 hwp 문서는 위와 같은 화면을 보여줘 감염 사실을 인지하기 어렵게 한다.

정상 hwp 문서가 보여지는 과정에 악성 dll 파일이 특정 경로에 생성되고 감염활동을 시작하는 것이다.

악성 파일은 명령제어 서버와 통신을 시도하고, 감염된 컴퓨터의 맥 주소와 운영체제 정보 등을 전송한다. 그리고 공격자 의도에 따라 추가 명령을 수행하게 된다.

김수키 조직 도메인 정보 비교.
김수키 조직 도메인 정보 비교.

ESRC 측은 “김수키 APT 조직이 최근도 매우 활발하게 사이버 위협활동을 수행 중이고, wsf 기반의 악성 스크립트 파일을 지속적인 위협 도구로 사용하고 있는 점에 주목하고 있다”며 “주로 이메일에 wsf 파일을 압축해 첨부하거나 URL 링크로 다운로드 및 실행을 유도하는 형태가 사용되고 있어 스크립트 파일을 발견할 경우 각별히 주의해야 한다”고 경고했다.

★정보보안 대표 미디어 데일리시큐!★

◇국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스(MPIS 2020) 개최
-일 시: 2020년 7월 30일(목) 09:00~17:00
-장 소: 한국과학기술회관 지하1층 대회의실
-참석대상: 전국 의료기관 및 관련 공공기관 개인정보보호/정보보안 담당자(무료 참석)
(이외 참석자는 11만원 유료 참석만 가능)
-사전등록: 사전등록 클릭
-참가기업 문의: 데일리시큐 길민권 기자(mkgil@dailysecu.com)