외신 인터뷰 의뢰 사칭 김수키 공격 발견
Contents
◈ 주요 요약 (Executive Summary)
- 외신 통신사 소속의 연구원 명의를 사칭해 여러 북한인권 활동가에게 접근
- 한반도 평화 주제 관련 서면 인터뷰 요청으로 스피어 피싱 공격 수행
- HWP 악성 문서 및 DOC, PDF 아이콘 위장 MSC 타입의 악성 코드 사용
- 이탈리아 소재의 C2 명령 서버로 통신 후 내부 정보 유출 본격화
- 중국 '머스탱 판다' 그룹, 김수키의 MSC 공격 전략 모방 시도 포착
1. 개요 (Overview)
○ 지난 5월 10일, Genians Security Center(GSC)는 '페이스북과 MS관리콘솔을 활용한 Kimsuky APT 그룹의 새로운 공격 전략'을 처음 소개한 바 있습니다. 더불어 한국인터넷진흥원(KISA) 위협 인텔리전스 네트워크, 국내외 주요 보안 관계자와 협력해 민관 합동 대응을 진행했습니다.
○ GSC는 그 이후에도 해당 위협 행위자(Threat Actor)가 페이스북 정찰을 통해 추가 공격 대상자 탐색 후, 스피어 피싱으로 은밀히 공격 중인 정황을 포착했습니다. 특히, MSC와 함께 HWP 악성문서도 내부 침투에 사용됐습니다.
[그림 1] Kimsuky 그룹의 MSC, HWP 기반 공격 흐름도
○ 김수키 그룹은 MS관리콘솔을 이용한 공격을 지속하고 있으며, 현재 3종의 MSC 악성파일이 추가 발견됐지만, 발견되지 않은 더 …
- 외신 통신사 소속의 연구원 명의를 사칭해 여러 북한인권 활동가에게 접근
- 한반도 평화 주제 관련 서면 인터뷰 요청으로 스피어 피싱 공격 수행
- HWP 악성 문서 및 DOC, PDF 아이콘 위장 MSC 타입의 악성 코드 사용
- 이탈리아 소재의 C2 명령 서버로 통신 후 내부 정보 유출 본격화
- 중국 '머스탱 판다' 그룹, 김수키의 MSC 공격 전략 모방 시도 포착
1. 개요 (Overview)
○ 지난 5월 10일, Genians Security Center(GSC)는 '페이스북과 MS관리콘솔을 활용한 Kimsuky APT 그룹의 새로운 공격 전략'을 처음 소개한 바 있습니다. 더불어 한국인터넷진흥원(KISA) 위협 인텔리전스 네트워크, 국내외 주요 보안 관계자와 협력해 민관 합동 대응을 진행했습니다.
○ GSC는 그 이후에도 해당 위협 행위자(Threat Actor)가 페이스북 정찰을 통해 추가 공격 대상자 탐색 후, 스피어 피싱으로 은밀히 공격 중인 정황을 포착했습니다. 특히, MSC와 함께 HWP 악성문서도 내부 침투에 사용됐습니다.
[그림 1] Kimsuky 그룹의 MSC, HWP 기반 공격 흐름도
○ 김수키 그룹은 MS관리콘솔을 이용한 공격을 지속하고 있으며, 현재 3종의 MSC 악성파일이 추가 발견됐지만, 발견되지 않은 더 …
IoC
162.0.209.27
1cfef99f68b749d81736397e652c3d87
46.252.150.82
5.9.123.217
52.177.14.24
5eae3d3b9aeeb0a4186ad3b68ff2da59
5f6303697bf8e978bf674ea8a7094673
89.40.173.131
9eb0b3e2f61ef255ef51ace86381a258
a27a6dbb2144f2dff187d8abc7b3eafb
a7c5797956520905f71ab79873bcf950
cb82751ae9f84709268fd5e5b135b74e
d87ba0743c3de99f02b277068b9aea95
http://brandwizer.co.in/green_pad/wp-content/plugins/custom-post-type-maker/essay/d.php?na=battmp
http://joongang.site/pprb/sec/d.php?na=battmp
http://orientedworld.com
http://orientedworld.com/wp-content/plugins/health-check/pages/gorgon1/d.php?na=battmp
http://orientedworld.com/wp-content/plugins/health-check/pages/reuters/d.php?na=battmp
http://profilepimpz.com
http://rfa.ink/bio/d.php?na=battmp
http://temp.demetradesign.it
http://temp.demetradesign.it/eternalwealth/wp-content/plugins/health-check/pages/Seh-Lynn/d.php?na=battmp
http://temp.demetradesign.it/eternalwealth/wp-content/plugins/health-check/pages/interview/d.php?na=battmp
https
https://orientedworld.com/wp-content/plugins/health-check/pages/reuters/d.php?na=battmp
https://orientedworld.com/wp-content/plugins/health-check/pages/reuters/share
https://temp.demetradesign.it/eternalwealth/wp-content/plugins/health-check/pages/Seh-Lynn/d.php?na=battmp
https://temp.demetradesign.it/eternalwealth/wp-content/plugins/health-check/pages/Seh-Lynn/share
https://temp.demetradesign.it/eternalwealth/wp-content/plugins/health-check/pages/interview/d.php
https://temp.demetradesign.it/eternalwealth/wp-content/plugins/health-check/pages/interview/view.php
1cfef99f68b749d81736397e652c3d87
46.252.150.82
5.9.123.217
52.177.14.24
5eae3d3b9aeeb0a4186ad3b68ff2da59
5f6303697bf8e978bf674ea8a7094673
89.40.173.131
9eb0b3e2f61ef255ef51ace86381a258
a27a6dbb2144f2dff187d8abc7b3eafb
a7c5797956520905f71ab79873bcf950
cb82751ae9f84709268fd5e5b135b74e
d87ba0743c3de99f02b277068b9aea95
http://brandwizer.co.in/green_pad/wp-content/plugins/custom-post-type-maker/essay/d.php?na=battmp
http://joongang.site/pprb/sec/d.php?na=battmp
http://orientedworld.com
http://orientedworld.com/wp-content/plugins/health-check/pages/gorgon1/d.php?na=battmp
http://orientedworld.com/wp-content/plugins/health-check/pages/reuters/d.php?na=battmp
http://profilepimpz.com
http://rfa.ink/bio/d.php?na=battmp
http://temp.demetradesign.it
http://temp.demetradesign.it/eternalwealth/wp-content/plugins/health-check/pages/Seh-Lynn/d.php?na=battmp
http://temp.demetradesign.it/eternalwealth/wp-content/plugins/health-check/pages/interview/d.php?na=battmp
https
https://orientedworld.com/wp-content/plugins/health-check/pages/reuters/d.php?na=battmp
https://orientedworld.com/wp-content/plugins/health-check/pages/reuters/share
https://temp.demetradesign.it/eternalwealth/wp-content/plugins/health-check/pages/Seh-Lynn/d.php?na=battmp
https://temp.demetradesign.it/eternalwealth/wp-content/plugins/health-check/pages/Seh-Lynn/share
https://temp.demetradesign.it/eternalwealth/wp-content/plugins/health-check/pages/interview/d.php
https://temp.demetradesign.it/eternalwealth/wp-content/plugins/health-check/pages/interview/view.php