킴수키(Kimsuky) 해킹조직, 23년도 공격 주의

킴수키(Kimsuky) 해킹조직의 공격 주의

킴수키(Kimsuky) 해킹조직 개요

대한민국 국가정보원(NIS)과 독일 헌법보호청(BfV)은 킴수키(탈륨,벨벳천리마 등으로도 불림)또는 해킹조직이 한반도ㆍ대북 전문가를 공격하기 위해 구글에서 제공하는 브라우저 및 앱 스토어 서비스를 악용한 사례를 확인한바, 이에 대한 경각심을 고취하기 위해 합동 보안권고문을 발표합니다.

킴수키 해킹조직이 크로미움 브라우저의 확장프로그램과 안드로이드 앱 개발자 지원 기능을 악용하는 해킹공격에 대한 전략ㆍ수법 ㆍ절차(TTP)와 침해지표(IoC)를 포함하고 있습니다.

국가정보원과 헌법보호청은 앞서 기술한 해킹 공격이 한반도ㆍ대북 전문가를 주요 타깃으로 하고 있다고 판단하고 있으나, 이에 악용된 기술이 범용적 으로 사용 가능하기 때문에 전 세계 외교ㆍ안보 싱크탱크 관계자는 물론 불특정 다수로 공격 대상이 확대될 수 있다고 평가하고 있습니다.

기술적 사항(Technical Details)

킴수키 해킹조직은 이미 널리 알려진 것과 같이 포털 관리자 및 지인을 사칭한 스피어 피싱을 통해 한반도ㆍ대북 전문가를 대상으로 계정정보 절취 공격을 수행하고 있습니다.

이 해킹조직은 절취한 계정을 이용해 공격 대상자의 포털사이트와 연동된 이메일뿐만 아니라, 클라우드 서비스에 저장된 자료를 절취하기도 하였습니다.

한편, 이번에 새롭게 확인된 킴수키 해킹조직의 2가지 공격 수법은 구글 웹 브라우저 확장프로그램과 웹-스마트폰 연동 서비스를 악용한 것입니다. 아래는 해킹조직이 악용한 수법을 간략히 설명한 것입니다.

크로미움 브라우저 확장프로그램(Extension)을 악용한 구글메일 절취

스피어피싱 이메일을 통해 악성 크로미움 확장프로그램 설치를 유도한 후, 피해자가 G메일 로그인시 자동으로 확장프로그램이 동작하여 이메일을 절취 합니다.

image 59

공격자는 악성 링크가 포함된 스피어피싱 이메일을 발송, 악성코드가 포함된 확장프로그램 설치를 유도합니다.

공격 대상자가 크로미움 기반 웹브라우저를 통해 자신의 G메일에 접속할 경우, 이미 설치된 악성 확장프로그램이 동작하게 됩니다.

이때 개발자 도구(Devtools API) 기능을 활용하여 공격 대상자의 G메일을 자동으로 절취 합니다. 절취한 이메일 내용은 공격자의 경유지 서버로 자동으로 전송됩니다.

이러한 공격수법은 메일 서비스에서 제공하는 2차 인증 등 개인이 설정한 보안설정을 우회하면서 공격 대상자의 이메일을 은밀하게 절취하기 위한 것으로 평가하고 있습니다.

악성 확장프로그램이 설치되면 피해자 PC에 %APPDATA%AF 폴더가 생성되고, 웹 브라우저 주소창에 (chrome|edge|whale)://extensions 입력시 확장프로그램 목록에 ‘AF’가 표시됩니다.

구글 플레이 동기화 기능을 악용한 스마트폰 악성앱 설치

공격자는 피싱메일 등으로 사전에 절취한 피해자 구글 계정으로 로그인 후 구글 플레이의 웹-스마트폰 동기화 기능을 악용하여 공격 대상자가 별도 조작 없이도 안드로이드 스마트폰에 악성 앱을 설치합니다.

image 60

공격자는 사전에 피싱메일 등을 통해 대상자의 구글 계정정보를 절취 합니다.

공격자는 악성앱을 구글 플레이 콘솔(앱 개발자 사이트)에 ‘내부 테스트용’ 으로 등록하고 공격 대상자 계정을 테스트 대상으로 추가합니다.

공격자는 PC에서 피해자 구글 계정으로 로그인 후 구글 플레이스토어에 접속하여 악성앱 설치를 요청합니다.

이때 악성앱을 설치할 디바이스로 구글 계정과 연동된 공격 대상자의 스마트폰을 선택합니다.

악성앱은 구글에서 제공하는 ‘구글 플레이 동기화 기능’을 통해 공격 대상자의 스마트폰에 자동으로 설치됩니다.

공격자가 악성앱을 ‘내부 테스트용’으로 등록하고 제한적으로 배포하는 것은 탐지를 최소화하고 특정 타깃을 대상으로 공격하기 위한 것으로 평가하고 있습니다.

스마트폰에 설치된 앱 목록을 점검(침해지표 참고)하여 악성앱 설치여부를 확인할 수 있습니다.

피해 예방(General mitigations and best practices)

국가정보원과 헌법보호청은 자주 발생하는 스피어 피싱 공격을 토대로 이번 보안 권고문에 예방 가이드를 수록하오니 참고해주시기 바랍니다.

상기와 같은 해킹사고 의심 및 유사사례 발견 시 아래 기관에 연락하여 주십시오.

  • 대한민국 기관 :
    ㆍ국가정보원(www.nis.go.kr, 111)
    ㆍ한국인터넷진흥원(boho.or.kr, 118)
    ㆍ경찰청(ecrm.police.go.kr, 182)

계정 절취에 대한 위협을 줄이기 위해 2단계 인증을 사용하십시오. (2FA)

이번 해킹조직의 공격은 대부분 스피어피싱을 통해 이루어지기 때문에 악성 이메일을 판별하고 이메일 수신시 유의사항 준수를 통해 피해를 예방 할 수 있습니다.

스피어 피싱은 특정 개인 또는 그룹을 겨냥하며, 이들이 조직에 해를 주는 행위를 하도록 조종하는 것을 말합니다.

스피어피싱 이메일 판별법

image 61

이메일 수신 시 유의사항

image 62

관련 침해지표(IoC)

크로미움 브라우저 악성 확장프로그램

image 63

구글 플레이 ‘동기화 기능’을 악용

image 64

사회공학적 기법 해킹 대비 4가지 사항