미국 사이버 보안 및 인프라 보안국(CISA), 연방수사국(FBI), 사이버 사령부 내 CNMF(National Missions Force)는 최근 북한 해커 조직 킴수키가 사이버 공격에 사용한 TTPs를 설명하는 보고서를 발표했다. 미국에서는 이 사이버 공격을 히든 코브라로 명명해왔는데, 이번 보고서에서는 킴수키의 네트워크 공격에 대해 설명하고 있다.

보고서의 주요 결과는 다음과 같다.

  • 킴수키는 2012년부터 운영되었을 것으로 추정된다.
  • 북한 정부가 지원하는 글로벌 정보 수집 임무를 주로 수행할 가능성이 높다
  • 일반적인 전략을 사용하여 데이터를 탈취한다.
  • 초기 액세스 권한을 얻기 위해 피싱을 사용할 가능성이 가장 높다.
  • 한국, 일본 및 미국을 대상으로 정보 수집을 진행한다.
  • 특히 다양한 분야의 전문가, 싱크탱크, 한국 정부 기관을 타깃으로 한다.
  • 이에 CISA, FBI, CNMF는 방어 전략에 대한 인식을 강화해야 한다고 권장한다.

보고서에 따르면 킴수키의 전술은 아래와 같다.

북한 해커조직 킴수키의 지속적인 사이버 공격
  1. 초기 액세스 권한 탈취
  2. BabyShark 멀웨어, 파워쉘 또는 윈도우 커맨드 쉘을 사용해 명령 실행
  3. 지속적인 공격 실시
  4. 권한 상승
  5. 백신 우회, 파일 삭제, Metasploit 등 방어적인 회피 방법 실시
  6. 합법적인 도구 등을 사용해 웹 브라우저, 파일 및 키로거에서 자격 증명 수집
  7. hwp 파일 악성코드와 키로거를 통해 피해자 시스템에서 데이터 수집

[출처 : US CERT / 10.29.]