'클릭픽스' 전술을 활용한 김수키 그룹 위협 사례 분석
Contents
◈ 주요 결과 (Key Findings)
- 클릭픽스(ClickFix)는 피해자 스스로 공격체인에 개입하도록 유인하고 현혹
- 특정 오류에 대한 문제 해결 방법 또는 보안 문서 인증 절차 안내처럼 위장
- 김수키(Kimsuky) 그룹의 'BabyShark' 위협 캠페인 연장선으로 분석
- 난독화된 악성코드와 이상행위를 탐지할 수 있는 EDR 방어 전략 필요
1. 개요 (Overview)
○ 지니언스 시큐리티 센터(Genians Security Center / GSC)는 2025년 상반기를 기점으로 김수키(Kimsuky) 그룹의 '클릭픽스(ClickFix)' 공격 전술 활동을 포착했습니다. 김수키 그룹에 속한 위협 행위자(Threat Actor)는 일명 'ClickFix'로 알려진 공격 전술을 응용했습니다. 'ClickFix'는 2024년 4월, 미국의 보안기업 Proofpoint 연구원들이 처음 소개했고, 「From Clipboard to Compromise: A PowerShell Self-Pwn」 보고서를 통해 알려졌습니다.
○ 당시 사례는 특정 사용자가 침해된 웹 사이트를 방문할 때, 마치 구글 크롬이 출력한 가짜 오류 안내 메시지가 표시됐습니다. 그리고 잘못된 브라우저 업데이트를 수정해야 한다는 내용으로 이용자를 현혹합니다. 이때 해당 메시지에 속아 수동으로 코드를 복사 후 PowerShell 콘솔창에 넣어 실행할 경우, 악성행위가 작동되는 방식입니다.
○ 한편, 2024년 10월, 프랑스의 사이버 보안기업 Sekoia 연구원들은 「ClickFix tactic: The Phantom Meet」 보고서를 공개했습니다. …
- 클릭픽스(ClickFix)는 피해자 스스로 공격체인에 개입하도록 유인하고 현혹
- 특정 오류에 대한 문제 해결 방법 또는 보안 문서 인증 절차 안내처럼 위장
- 김수키(Kimsuky) 그룹의 'BabyShark' 위협 캠페인 연장선으로 분석
- 난독화된 악성코드와 이상행위를 탐지할 수 있는 EDR 방어 전략 필요
1. 개요 (Overview)
○ 지니언스 시큐리티 센터(Genians Security Center / GSC)는 2025년 상반기를 기점으로 김수키(Kimsuky) 그룹의 '클릭픽스(ClickFix)' 공격 전술 활동을 포착했습니다. 김수키 그룹에 속한 위협 행위자(Threat Actor)는 일명 'ClickFix'로 알려진 공격 전술을 응용했습니다. 'ClickFix'는 2024년 4월, 미국의 보안기업 Proofpoint 연구원들이 처음 소개했고, 「From Clipboard to Compromise: A PowerShell Self-Pwn」 보고서를 통해 알려졌습니다.
○ 당시 사례는 특정 사용자가 침해된 웹 사이트를 방문할 때, 마치 구글 크롬이 출력한 가짜 오류 안내 메시지가 표시됐습니다. 그리고 잘못된 브라우저 업데이트를 수정해야 한다는 내용으로 이용자를 현혹합니다. 이때 해당 메시지에 속아 수동으로 코드를 복사 후 PowerShell 콘솔창에 넣어 실행할 경우, 악성행위가 작동되는 방식입니다.
○ 한편, 2024년 10월, 프랑스의 사이버 보안기업 Sekoia 연구원들은 「ClickFix tactic: The Phantom Meet」 보고서를 공개했습니다. …
IoC
http://online.lecture-site.kro.kr
http://account-profile.servepics.com
http://secure.drive.polices.site
http://kida.plusdocs.kro.kr
http://konamo.xyz
http://securedrive.fin-tech.com
http://103.149.98.247/vs/t1/d.php?newpa=comline&wpn=soofer
http://accounts-porfile.serveirc.com
http://210.179.30.213
http://103.149.98.247
http://nid.naver.rkfd.com
http://mspro.kro.kr
http://1.223.129.234
http://내도메인.
http://securedrive.servehttp.com
http://112.74.194.45
http://121.179.161.231
http://115.92.4.123
http://msprovider.menews.o-r.kr
http://bikaro.store
http://voanews.co.com
http://cafe24.pro
http://naunsae.store
http://172.86.111.75
http://www.online.check-computer.kro.kr
http://tenelbox.store
http://androcl.csproject.org/happy_0320/d.php?newpa=comline&&wpn=jeffrey
http://103.149.98.248
http://login.androclesproject.o-r.kr
http://raedom.store
http://118.194.228.184
http://106.243.157.158
http://androcl.csproject.org
http://118.193.69.151
http://103.149.98.247/vs/tA/d.php?newpa=comline&wpn=aaa
http://securedrive.privatedns.org
http://211.170.73.245
http://securedrivelog.register.im
http://cyber.lecture.site.online-driver.kro.k
http://38.180.157.197
http://securedrive-overseas-state.bit-albania.com
http://157.7.184.11
http://103.149.98.247/vs/tt/d.php?newpa=comline&wpn=soofer
http://e-securedrive.assembly.twoon.co.kr
http://162.0.229.227
http://cukumam.shop
http://65.254.248.151
http://temuco.xyz
103.149.98.248
157.7.184.11
38.180.157.197
106.243.157.158
112.74.194.45
103.149.98.247
172.86.111.75
121.179.161.231
1.223.129.234
210.179.30.213
118.193.69.151
211.170.73.245
118.194.228.184
115.92.4.123
65.254.248.151
162.0.229.227
627b856884604880a5c009ebf7173efb
913fe4236ca5e34879d2a3228da6b9c6
8c33e8439844c315b7b3f21b0c1633aa
56233bac07f4f9c43585e485e70b6169
8ff155a2962c77e9da05bd0476af36be
fcde319b752cacec40ffba130067de0d
0a9c22079c898fc112e67ce1caff8f54
89a725b08ab0e8885fc03b543638be96
ad6104a503b46bf6ea505fe8b3182970
ca13c54987293ae7efc22b14e1153c1e
3297e3606d6466bc7f741a4df2b9e96a
fc4c319d7940ad1b7c0477469420bd11
bf795a376233032d05766a396b3d6e08
40ce5cf6be259120d179f51993aec854
a523bf5dca0f2a4ace0cf766d9225343
d10208c32fbbb5cacbd2097fc0dcd444
12bfe00206b2e83c7ff79b657d3c56df
http://account-profile.servepics.com
http://secure.drive.polices.site
http://kida.plusdocs.kro.kr
http://konamo.xyz
http://securedrive.fin-tech.com
http://103.149.98.247/vs/t1/d.php?newpa=comline&wpn=soofer
http://accounts-porfile.serveirc.com
http://210.179.30.213
http://103.149.98.247
http://nid.naver.rkfd.com
http://mspro.kro.kr
http://1.223.129.234
http://내도메인.
http://securedrive.servehttp.com
http://112.74.194.45
http://121.179.161.231
http://115.92.4.123
http://msprovider.menews.o-r.kr
http://bikaro.store
http://voanews.co.com
http://cafe24.pro
http://naunsae.store
http://172.86.111.75
http://www.online.check-computer.kro.kr
http://tenelbox.store
http://androcl.csproject.org/happy_0320/d.php?newpa=comline&&wpn=jeffrey
http://103.149.98.248
http://login.androclesproject.o-r.kr
http://raedom.store
http://118.194.228.184
http://106.243.157.158
http://androcl.csproject.org
http://118.193.69.151
http://103.149.98.247/vs/tA/d.php?newpa=comline&wpn=aaa
http://securedrive.privatedns.org
http://211.170.73.245
http://securedrivelog.register.im
http://cyber.lecture.site.online-driver.kro.k
http://38.180.157.197
http://securedrive-overseas-state.bit-albania.com
http://157.7.184.11
http://103.149.98.247/vs/tt/d.php?newpa=comline&wpn=soofer
http://e-securedrive.assembly.twoon.co.kr
http://162.0.229.227
http://cukumam.shop
http://65.254.248.151
http://temuco.xyz
103.149.98.248
157.7.184.11
38.180.157.197
106.243.157.158
112.74.194.45
103.149.98.247
172.86.111.75
121.179.161.231
1.223.129.234
210.179.30.213
118.193.69.151
211.170.73.245
118.194.228.184
115.92.4.123
65.254.248.151
162.0.229.227
627b856884604880a5c009ebf7173efb
913fe4236ca5e34879d2a3228da6b9c6
8c33e8439844c315b7b3f21b0c1633aa
56233bac07f4f9c43585e485e70b6169
8ff155a2962c77e9da05bd0476af36be
fcde319b752cacec40ffba130067de0d
0a9c22079c898fc112e67ce1caff8f54
89a725b08ab0e8885fc03b543638be96
ad6104a503b46bf6ea505fe8b3182970
ca13c54987293ae7efc22b14e1153c1e
3297e3606d6466bc7f741a4df2b9e96a
fc4c319d7940ad1b7c0477469420bd11
bf795a376233032d05766a396b3d6e08
40ce5cf6be259120d179f51993aec854
a523bf5dca0f2a4ace0cf766d9225343
d10208c32fbbb5cacbd2097fc0dcd444
12bfe00206b2e83c7ff79b657d3c56df