북한의 악명 높은 지능형 지속 위협(APT) 그룹 킴수키(Kimsuky) 그룹이 최근 사이버 첩보 활동을 확대하면서 시스템을 손상시키고 민감한 정보를 훔치기 위해 다양하고 정교한 공격도구를 사용하며 진화하고 있는 것으로 조사됐다.

◆스피어 피싱 공격의 진화와 애플시드

킴수키 그룹의 공격 방식은 정교하게 제작된 이메일을 통해 의심하지 않는 피해자가 악성 문서를 열어보도록 유인하는 스피어 피싱 공격에 중점을 두고 있다. 안랩은 악명 높은 애플시드, 미터프리터, 타이니누크 등 다양한 백도어와 툴을 활용하는 킴수키의 일련의 공격을 공개한 바 있다.

킴수키의 사이버 무기고에서 눈에 띄는 요소 중 하나는 잼보그(JamBog)라고도 알려진 윈도우 기반 백도어 ‘애플시드(AppleSeed)’다. 특히, 이 멀웨어는 2019년 5월부터 사용되어 왔으며 공격에 검증된 방식을 사용하고 있다는 것을 알 수 있다. 애플시드는 제어된 서버로부터 명령을 수신하고, 추가 페이로드를 드롭하며, 파일, 키 입력, 스크린샷과 같은 민감한 데이터를 유출할 수 있다.

한편 킴수키는 애플시드의 안드로이드 버전과 알파시드라는 새로운 변종을 선보이며 전술을 다각화하고 있다. 구글이 만든 프로그래밍 언어 골랑(Golang)으로 개발된 알파시드는 명령 및 제어 서버와의 통신을 위해 크롬메드프 라이브러리를 사용하며, 이전 버전에서 사용된 HTTP 또는 SMTP 프로토콜과 차별화된다.

◆미터프리터(Meterpreter)와 타이니누크(TinyNuke)를 이용한 다각도 공격

킴수키는 애플시드 외에도 다른 강력한 툴을 사이버 무기고에 배치했다. 침투 테스트에 사용되는 다용도 페이로드인 미터프리터는 위협 공격자가 손상된 시스템에 대한 제어권을 유지하기 위해 활용한다. 또한 타이트VNC(TightVNC) 및 타이니누크(TinyNuke, 일명 핵 봇)를 포함한 VNC 멀웨어는 표적 시스템에 대한 무단 액세스 및 제어를 용이하게 하기 위해 사용되고 있다.

킴수키의 사이버 공격 활동은 미국 정부가 북한 정부를 대상으로 제재를 가한 이후부터 더욱 증가하고 있다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★