김수키 그룹의 3단 콤보 위협 분석
Contents
◈ 주요 요약 (Executive Summary)
- 페이스북, 이메일, 텔레그램 등 3단계 통로를 이용한 은밀한 침투 전략 구사
- 마치 탈북민 자원봉사 활동 내용처럼 현혹해 대화 유도 및 악성파일 전달
- 국방 및 대북분야 활동가를 겨냥한 국가배후 해킹조직 김수키 연계 확인
- 한국형 압축파일과 인코딩된 악성 스크립트로 보안 패턴 탐지 회피에 특화
- EDR 기반의 위협 헌팅과 트리아지(Triage)는 가시성 확보에 기여
1. 개요 (Overview)
○ 지니언스 시큐리티 센터(Genians Security Center / GSC)는 2025년 03월부터 04월까지 한국내 페이스북, 이메일, 텔레그램 이용자를 겨냥한 지능형지속위협(APT) 공격을 포착했습니다.
○ 위협 행위자(Threat Actor)는 두개의 페이스북 계정을 통해 정찰 및 공격대상을 탐색한 것으로 드러났습니다.
○ 지니언스 소속 위협분석 연구원들의 공동조사 결과에 따르면, 해당 공격의 배후로 김수키(Kimsuky) 그룹이 지목됐습니다. 이들은 북한연계 국가배후 해킹조직으로 널리 알려져 있으며, 이번 사례는 '애플시드(AppleSeed)' 캠페인으로 밝혀졌습니다.
○ 참고로 애플시드는 지난 2019년과 2021년 10월, 두차례의 VB 콘퍼런스에서 당시 메인저자 김재기 수석연구원과 2명이 공동으로 발표한 「Kimsuky group: tracking the king of the spear-phishing」 「Operation Newton: Hi Kimsuky? Did an Apple(seed) really fall on Newton’s head?」 …
- 페이스북, 이메일, 텔레그램 등 3단계 통로를 이용한 은밀한 침투 전략 구사
- 마치 탈북민 자원봉사 활동 내용처럼 현혹해 대화 유도 및 악성파일 전달
- 국방 및 대북분야 활동가를 겨냥한 국가배후 해킹조직 김수키 연계 확인
- 한국형 압축파일과 인코딩된 악성 스크립트로 보안 패턴 탐지 회피에 특화
- EDR 기반의 위협 헌팅과 트리아지(Triage)는 가시성 확보에 기여
1. 개요 (Overview)
○ 지니언스 시큐리티 센터(Genians Security Center / GSC)는 2025년 03월부터 04월까지 한국내 페이스북, 이메일, 텔레그램 이용자를 겨냥한 지능형지속위협(APT) 공격을 포착했습니다.
○ 위협 행위자(Threat Actor)는 두개의 페이스북 계정을 통해 정찰 및 공격대상을 탐색한 것으로 드러났습니다.
○ 지니언스 소속 위협분석 연구원들의 공동조사 결과에 따르면, 해당 공격의 배후로 김수키(Kimsuky) 그룹이 지목됐습니다. 이들은 북한연계 국가배후 해킹조직으로 널리 알려져 있으며, 이번 사례는 '애플시드(AppleSeed)' 캠페인으로 밝혀졌습니다.
○ 참고로 애플시드는 지난 2019년과 2021년 10월, 두차례의 VB 콘퍼런스에서 당시 메인저자 김재기 수석연구원과 2명이 공동으로 발표한 「Kimsuky group: tracking the king of the spear-phishing」 「Operation Newton: Hi Kimsuky? Did an Apple(seed) really fall on Newton’s head?」 …
IoC
http://onsungtong.n-e.kr
http://nocamoto.o-r.kr
http://download.uberlingen.com
http://dirwear.000webhostapp.com
http://hyper.cadorg.p-e.kr
http://peras1.n-e.kr
http://afcafe.kro.kr
http://update.screawear.ga
http://vamboo.n-e.kr
http://nomera.n-e.kr
http://레지스트리HKCU...\Run
http://nauji.n-e.kr
http://woana.n-e.kr
http://jieun.dothome.co.kr
f14f332d4273de04ba77e38fd3dcff90
ca3926dc6c4b2a71832a03fba366cbcd
f4d59b1246e861a2a626cb56c55651f0
07015af18cf8561866bc5b07e6f70d9a
afadab22f770956712e9c47460911dad
30741e7e4cdd8ba9d3d074c42deac9b1
7a0c0a4c550a95809e93ab7e6bdcc290
2f6fe22be1ed2a6ba42689747c9e18a0
8346d90508b5d41d151b7098c7a3e868
7756b4230adfa16e18142d1dbe6934af
f960ce07c519d1e64a46c7f573eac39b
779f2f4839b9be4f0b8c96f117181334
b9c2111c753b09e4cc9d497f8fd314fc
b128c5db5d973be60f39862ba8bfb152
5a223c70b65c4d74fea98ba39bf5d127
46fd22acea614407bf11d92eb6736dc7
ec9dcef04c5c89d6107d23b0668cc1c1
568f7628e6b7bb7106a1a82aebfd348d
2a388f3428a6d44a66f5cb0b210379a0
537806c02659a12c5b21efa51b2322c1
bfb02dee62c38c3385df92b308499b31
1ae2e46aac55e7f92c72b56b387bc945
fb3c652e795f08cc2529ed33ec1dc114
fe8626e7c3f47a048c9f6c13c88a9463
http://nocamoto.o-r.kr
http://download.uberlingen.com
http://dirwear.000webhostapp.com
http://hyper.cadorg.p-e.kr
http://peras1.n-e.kr
http://afcafe.kro.kr
http://update.screawear.ga
http://vamboo.n-e.kr
http://nomera.n-e.kr
http://레지스트리HKCU...\Run
http://nauji.n-e.kr
http://woana.n-e.kr
http://jieun.dothome.co.kr
f14f332d4273de04ba77e38fd3dcff90
ca3926dc6c4b2a71832a03fba366cbcd
f4d59b1246e861a2a626cb56c55651f0
07015af18cf8561866bc5b07e6f70d9a
afadab22f770956712e9c47460911dad
30741e7e4cdd8ba9d3d074c42deac9b1
7a0c0a4c550a95809e93ab7e6bdcc290
2f6fe22be1ed2a6ba42689747c9e18a0
8346d90508b5d41d151b7098c7a3e868
7756b4230adfa16e18142d1dbe6934af
f960ce07c519d1e64a46c7f573eac39b
779f2f4839b9be4f0b8c96f117181334
b9c2111c753b09e4cc9d497f8fd314fc
b128c5db5d973be60f39862ba8bfb152
5a223c70b65c4d74fea98ba39bf5d127
46fd22acea614407bf11d92eb6736dc7
ec9dcef04c5c89d6107d23b0668cc1c1
568f7628e6b7bb7106a1a82aebfd348d
2a388f3428a6d44a66f5cb0b210379a0
537806c02659a12c5b21efa51b2322c1
bfb02dee62c38c3385df92b308499b31
1ae2e46aac55e7f92c72b56b387bc945
fb3c652e795f08cc2529ed33ec1dc114
fe8626e7c3f47a048c9f6c13c88a9463