Kimsuky 해킹 그룹, 악성코드 없는 피싱 방식 채택해 탐지 시스템 회피

Kimsuky는 맬웨어가 없는 피싱 전술, 러시아 이메일 서비스, 그리고 설득력 있는 사이트들을 사용하여 연구자들, 기관들, 그리고 금융 기관들을 대상으로 삼아, 감지를 피하고 있습니다.

연구자들이 한국에서 북한 해킹 그룹인 Kimsuky의 전략 변화를 발견했습니다. 이 그룹은 주요 엔드포인트 탐지 및 대응(EDR) 시스템을 우회하기 위해 맬웨어가 없는 피싱 공격을 사용하기 시작했다고 사이버 보안 뉴스(CSN)가 보도했습니다.

여러 년 동안 활동해 온 이 그룹은 북한에 초점을 맞춘 연구자들과 조직들을 목표로 삼았습니다. 그들의 전략은 발전하고 있으며, 이는 감지를 피하고 그들의 캠페인의 성공률을 높이기 위한 목표입니다.

CSN은 Kimsuky의 접근 방식에서 중요한 변화가 이메일 공격 방법에 관련되어 있다고 보고했습니다. 이전에는 이 그룹이 그들의 피싱 캠페인에 대해 일본의 이메일 서비스에 크게 의존하고 있었습니다.

그러나 최근의 연구 결과로는 러시아의 이메일 서비스로의 이동이 드러났는데, 이로 인해 대상이 의심스러운 통신을 식별하고 잠재적인 위험을 피하는 것이 더 어려워졌다고 CSN이 말합니다.

Kimsuky는 점점 더 악성 소프트웨어가 없는 피싱 공격을 채택하고 있으며, 이는 악성 소프트웨어 첨부 파일이 없는 신중하게 제작된 URL 기반의 피싱 이메일에 의존하고 있습니다. 이로 인해 그들을 탐지하기가 더 어려워졌다고 CSN이 밝혔습니다.

이런 이메일들은 종종 전자 문서 서비스, 이메일 보안 관리자, 공공 기관, 금융 기관 등의 엔티티를 가장하곤 합니다.

해당 그룹의 이메일들은 매우 정교하게 구성되어 있으며, 잘 알려진 금융 주제들을 자주 활용하여 그들의 신뢰성을 높이고 사용자들의 참여 가능성을 높이려고 한다고 CSN이 말합니다.

보고서에 따르면 Kimsuky는 “MyDomain[.]Korea”라는 무료 한국 도메인 등록 서비스의 도메인을 사용하여 설득력 있는 피싱 사이트를 만들었다고 CSN이 지적하고 있습니다.

Genians의 활동 시간표에 따르면, 이 그룹은 2024년 4월에 일본과 미국 도메인을 사용하기 시작하여, 5월에는 한국 서비스로 이동하고, 결국 9월에는 가짜 러시아 도메인을 사용하게 되었다고 CSN이 전합니다.

이러한 러시아 도메인들은 “star 3.0″이라는 피싱 도구와 연결되어 있으며, 이 도메인들은 그룹의 캠페인을 지원하기 위해 등록되었습니다. 이 공격과 연관된 “1.doc”라는 파일은 VirusTotal에서 플래그가 표시되었으며, 일부 안티맬웨어 서비스는 이를 Kimsuky와 연결된 것으로 확인했다고 CSN가 보도했습니다.

흥미롭게도, 이 그룹은 “star 3.0” 메일러를 이전에 2021년에 확인된 캠페인에 연결시켰습니다. 당시에는 이 메일러가 미국에 기반을 둔 에반젤리아 대학의 웹사이트에서 발견되었으며, Proofpoint의 보고서에서 북한 위협 배우자들과 연결되었다고 보고되었습니다.

Kimsuky의 변화하는 전략은 잠재적인 표적들이 경계를 갖추어야 할 필요성을 강조하고 있습니다.

사이버보안 전문가들은 특히 재정 관련된 의심스러운 통신에 대한 심도 있는 조사와 고급 단말 방어책의 채택을 권장하고 있습니다.

그룹의 방법에 대해 계속해서 정보를 얻고, 새로운 위협에 대응하여 보안 정책을 업데이트하는 것은 민감한 정보를 보호하고 강력한 사이버 보안 조치를 유지하는 데 중요합니다.