오퍼레이션 김수키(Kimsuky)의 은밀한 활동, 한국 맞춤형 APT 공격은 현재 진행형
Contents
안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
지난 2013년 러시아 보안업체 카스퍼스키 랩(Kaspersky Lab)을 통해 처음 명명된 이른바 김수키(Kimsuky) 오퍼레이션은 2014년 한국의 보안업체 안랩(AhnLab) 등을 통해서도 널리 알려진 바 있습니다.
그런 가운데 김수키 작전은 2018년 현재까지도 꾸준한 활동을 유지하고 있는 것으로 확인되고 있어 각별한 주의가 요망됩니다.
약 5년이 지난 현재 김수키 계열의 보안위협은 새로운 방식으로 진화를 거듭하고 있습니다.
■ 오퍼레이션 김수키(Operation Kimsuky) 공격의 은밀한 공격
공격자는 주로 HWP 문서파일의 취약점을 활용한 스피어 피싱(Spear Phishing)을 사용하지만, 상황에 따라 특정 대상의 이메일 계정정보 획득을 위한 고전적 피싱 공격을 복합적으로 사용합니다.
최근까지 한국을 상대로 진행된 맞춤형 APT 공격에 식별된 대표적인 악성 문서 파일은 다음과 같습니다. 물론 이것 외에도 다수의 변종들이 존재합니다.
● 2016년 06월 10일 : 가구.hwp
● 2016년 11월 30일 : 제46차 원내대책회의 모두발언.hwp
● 2017년 12월 01일 : 한반도 안보환경과 국방개혁 과제.hwp
● 2018년 01월 30일 : 남북 사회문화협력의 비전과 과제.hwp
● 2018년 11월 26일 : 트럼프 ‘북한 관련 가장 힘든 결정, 갈길 가겠다’.hwp
3개의 각 문서 파일에는 보안 취약점을 이용한 쉘코드(Shellcode)가 포함되어 있습니다. 그런데 해당 문서 …
지난 2013년 러시아 보안업체 카스퍼스키 랩(Kaspersky Lab)을 통해 처음 명명된 이른바 김수키(Kimsuky) 오퍼레이션은 2014년 한국의 보안업체 안랩(AhnLab) 등을 통해서도 널리 알려진 바 있습니다.
그런 가운데 김수키 작전은 2018년 현재까지도 꾸준한 활동을 유지하고 있는 것으로 확인되고 있어 각별한 주의가 요망됩니다.
약 5년이 지난 현재 김수키 계열의 보안위협은 새로운 방식으로 진화를 거듭하고 있습니다.
■ 오퍼레이션 김수키(Operation Kimsuky) 공격의 은밀한 공격
공격자는 주로 HWP 문서파일의 취약점을 활용한 스피어 피싱(Spear Phishing)을 사용하지만, 상황에 따라 특정 대상의 이메일 계정정보 획득을 위한 고전적 피싱 공격을 복합적으로 사용합니다.
최근까지 한국을 상대로 진행된 맞춤형 APT 공격에 식별된 대표적인 악성 문서 파일은 다음과 같습니다. 물론 이것 외에도 다수의 변종들이 존재합니다.
● 2016년 06월 10일 : 가구.hwp
● 2016년 11월 30일 : 제46차 원내대책회의 모두발언.hwp
● 2017년 12월 01일 : 한반도 안보환경과 국방개혁 과제.hwp
● 2018년 01월 30일 : 남북 사회문화협력의 비전과 과제.hwp
● 2018년 11월 26일 : 트럼프 ‘북한 관련 가장 힘든 결정, 갈길 가겠다’.hwp
3개의 각 문서 파일에는 보안 취약점을 이용한 쉘코드(Shellcode)가 포함되어 있습니다. 그런데 해당 문서 …