2025년 7월 APT 그룹 동향 보고서
Contents
2025년 7월 APT 그룹 동향 보고서
지역별 주요 APT 그룹 동향
1) 북한
북한의 APT 그룹은 ClickFix 기법을 적극 활용했으며, 한글(HWP) 문서에 삽입된 OLE 객체를 통해 DLL Side Loading 기법을 수행했다.
Kimsuky
Kimsuky 그룹은 ClickFix 전술을 활용하여 외교·안보 전문가를 표적으로 삼은 다단계 스피어 피싱 공격을 수행하였다.
| 사례 1. | |
| 시기 | 2025년 1월, 3월, 6월 |
| 공격 대상 | · 대한민국 내 외교, 안보, 국제 정치, 국방 연구기관, 포털 사용자 · 대한민국 내 외교·안보·국제정치 전문가 |
| 초기 침투 | · 언론인, 정부 보좌관, 경찰 수사관 등으로 위장한 이메일 · 가짜 인터뷰 요청, 회의 초청 등으로 신뢰 확보 후 악성 링크 또는 문서 전달 |
| 이용 취약점 | 없음 |
| 악성코드 및 도구 |
· BabyShark: Kimsuky의 대표 악성코드 시리즈, 다양한 스크립트 기반 실행 포함 · QuasarRAT: ClickFix 캠페인에서 최종 페이로드로 사용됨 (Proofpoint 인용) · .vbs 악성 스크립트: C2 연결, 정보 수집 및 스케줄러 등록 기능 포함 · .lnk 파일 (Edge 아이콘 위장): 사용자 클릭 유도용 …
지역별 주요 APT 그룹 동향
1) 북한
북한의 APT 그룹은 ClickFix 기법을 적극 활용했으며, 한글(HWP) 문서에 삽입된 OLE 객체를 통해 DLL Side Loading 기법을 수행했다.
Kimsuky
Kimsuky 그룹은 ClickFix 전술을 활용하여 외교·안보 전문가를 표적으로 삼은 다단계 스피어 피싱 공격을 수행하였다.
| 사례 1. | |
| 시기 | 2025년 1월, 3월, 6월 |
| 공격 대상 | · 대한민국 내 외교, 안보, 국제 정치, 국방 연구기관, 포털 사용자 · 대한민국 내 외교·안보·국제정치 전문가 |
| 초기 침투 | · 언론인, 정부 보좌관, 경찰 수사관 등으로 위장한 이메일 · 가짜 인터뷰 요청, 회의 초청 등으로 신뢰 확보 후 악성 링크 또는 문서 전달 |
| 이용 취약점 | 없음 |
| 악성코드 및 도구 |
· BabyShark: Kimsuky의 대표 악성코드 시리즈, 다양한 스크립트 기반 실행 포함 · QuasarRAT: ClickFix 캠페인에서 최종 페이로드로 사용됨 (Proofpoint 인용) · .vbs 악성 스크립트: C2 연결, 정보 수집 및 스케줄러 등록 기능 포함 · .lnk 파일 (Edge 아이콘 위장): 사용자 클릭 유도용 …