김수키(Kimsuky)로 알려진 북한과 관련된 위협 세력이 정보 수집 목적으로 대학 직원, 연구자, 교수를 표적으로 삼는 새로운 공격과 관련이 있는 것으로 밝혀졌습니다.
사이버보안 회사인 레질리언스는 해커가 저지른 OPSEC(운영 보안) 오류를 관찰한 후 2024년 7월 말에 해당 활동을 확인했다고 밝혔습니다.
APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail, Velvet Chollima 등의 이름으로도 알려진 Kimsuky는 북한 정부와 군대의 지시에 따라 운영되는 수많은 공격형 사이버 팀 중 하나에 불과합니다.
또한 매우 활발하며 종종 스피어 피싱 캠페인을 시작점으로 삼아 정찰을 실시하고 데이터를 훔치고 감염된 호스트에 대한 지속적인 원격 액세스를 확립하기 위한 맞춤형 도구 세트를 끊임없이 확장합니다.
공격은 또한 손상된 호스트를 스테이징 인프라로 사용하여 Green Dinosaur 웹 셸의 난독화된 버전을 배포한 다음 이를 사용하여 파일 작업을 수행하는 것이 특징입니다. Kimuksy가 웹 셸을 사용한 것은 이전에 2024년 5월에 보안 연구원 blackorbird에 의해 강조되었습니다.
그린 다이노소어가 제공한 접근 권한은 이후 네이버와 동덕대학교, 고려대학교, 연세대학교 등 다양한 대학의 합법적인 로그인 포털을 모방하도록 설계된 사전 구축된 피싱 페이지를 업로드하는 데 악용되어 이들의 자격 증명을 탈취하는 것이 목표입니다.
다음으로, 피해자는 구글 드라이브에 호스팅된 PDF 문서를 가리키는 또 다른 사이트로 리디렉션되는데, 이 문서는 아산정책연구원 8월 포럼 초대장인 것처럼 가장하고 있습니다.
“또한 Kimsuky의 피싱 사이트에는 Naver 계정을 수집하기 위한 특정 타깃이 아닌 피싱 툴킷이 있습니다.” Resilience 연구원들이 말했습니다.
“이 툴킷은 방문자의 쿠키와 자격 증명을 훔치기 위한 Evilginx와 유사한 초보적인 프록시이며, 서버와의 통신이 중단되었기 때문에 사용자에게 다시 로그인해야 한다는 팝업을 표시합니다.”
분석에서는 Kimsuky가 사용하는 SendMail이라는 맞춤형 PHPMailer 도구에 대해서도 알아냈는데, 이 도구는 Gmail과 Daum 메일 계정을 사용하여 대상에게 피싱 이메일을 보내는 데 사용됩니다.
이러한 위협에 대처하려면 사용자는 피싱 방지 다중 인증(MFA)을 활성화하고 로그인하기 전에 URL을 자세히 살펴보는 것이 좋습니다.
