미국 사이버 보안 및 인프라 보안국(CISA), 연방수사국(FBI), 사이버 사령부 내 CNMF(National Missions Force)는 최근 북한 해커 조직 킴수키가 사이버 공격에 사용한 TTPs를 설명하는 보고서를 발표했다. 미국에서는 이 사이버 공격을 히든 코브라로 명명해왔는데, 이번 보고서에서는 킴수키의 네트워크 공격에 대해 설명하고 있다.
보고서의 주요 결과는 다음과 같다.
- 킴수키는 2012년부터 운영되었을 것으로 추정된다.
- 북한 정부가 지원하는 글로벌 정보 수집 임무를 주로 수행할 가능성이 높다
- 일반적인 전략을 사용하여 데이터를 탈취한다.
- 초기 액세스 권한을 얻기 위해 피싱을 사용할 가능성이 가장 높다.
- 한국, 일본 및 미국을 대상으로 정보 수집을 진행한다.
- 특히 다양한 분야의 전문가, 싱크탱크, 한국 정부 기관을 타깃으로 한다.
- 이에 CISA, FBI, CNMF는 방어 전략에 대한 인식을 강화해야 한다고 권장한다.
보고서에 따르면 킴수키의 전술은 아래와 같다.

- 초기 액세스 권한 탈취
- BabyShark 멀웨어, 파워쉘 또는 윈도우 커맨드 쉘을 사용해 명령 실행
- 지속적인 공격 실시
- 권한 상승
- 백신 우회, 파일 삭제, Metasploit 등 방어적인 회피 방법 실시
- 합법적인 도구 등을 사용해 웹 브라우저, 파일 및 키로거에서 자격 증명 수집
- hwp 파일 악성코드와 키로거를 통해 피해자 시스템에서 데이터 수집
[출처 : US CERT / 10.29.]
댓글을 남겨주세요
로그인 후 댓글을 작성할 수 있습니다.