두리안 악성코드

김수키(Kimsuky) 북한 위협 그룹은 최근 두리안(Durian)이라는 새로운 Golang 기반 악성코드를 활용하여 한국의 두 암호화폐 회사를 표적으로 삼았습니다. 두리안은 광범위한 백도어 기능을 갖춘 고급 악성 코드로, 명령을 실행하고, 파일을 다운로드하고, 손상된 시스템에서 데이터를 수집할 수 있습니다.

두리안 악성코드 전달을 위한 감염 벡터

해당 사건은 2023년 8월과 11월에 발생했으며, 감염 방법으로 한국 전용의 합법적인 소프트웨어를 악용하는 것과 관련이 있었습니다. 이 소프트웨어를 악용하는 데 사용된 구체적인 방법은 아직 연구자들에 의해 완전히 밝혀지지 않았습니다.

이해되는 바는 이 소프트웨어가 공격자의 서버와 통신을 설정한 다음 안전하지 않은 페이로드를 검색하여 감염 프로세스를 시작한다는 것입니다. 초기 단계에서는 추가 악성 코드에 대한 설치 프로그램 역할을 하며 영향을 받는 호스트에 지속성을 설정합니다. 또한 궁극적으로 Durian의 실행을 유발하는 로더 악성 코드의 배포를 촉진합니다.

두리안과 함께 공격자가 활용하는 추가 악성코드

공격자는 Durian을 사용하여 ngrok 및 Chrome 원격 데스크톱과 같은 합법적인 도구와 함께 LazyLoad라는 사용자 지정 프록시 도구인 AppleSeed(Kimsuky가 선호하는 백도어)를 포함한 추가 악성 코드를 배포합니다. 목표는 쿠키 및 로그인 자격 증명과 같은 브라우저에 저장된 데이터를 훔치는 것이었습니다.

공격에서 흥미로운 점은 이전에 Lazarus Group 내의 하위 그룹인 Andariel 과 관련된 LazyLoad를 활용한 것입니다. 이는 이러한 위협 행위자 간의 잠재적인 협력이나 전술적 연계를 암시합니다.

Kimsuky는 사이버 범죄 현장의 주요 플레이어로 남아 있습니다.

최소 2012년부터 활동한 Kimsuky 그룹은 APT43, Black Banshee, Emerald Sleet(이전 Thallium), Springtail, TA427 및 Velvet Chollima를 비롯한 다양한 별칭으로도 알려져 있습니다. 북한 최고 군사정보기관인 정찰총국(RGB) 산하 63연구본부 산하에서 활동하는 것으로 알려졌다.

미국 연방수사국(FBI)과 국가안보국(NSA)의 공동 경보에 따르면 김수키의 주요 목표는 훔친 데이터와 지정학적 통찰력을 북한 정권에 제공하는 것입니다. 그들은 정책 분석가와 전문가를 타협함으로써 이를 달성합니다. 성공적인 타협을 통해 Kimsuky 공격자는 더 높은 가치의 개인을 표적으로 삼는 더욱 설득력 있는 스피어 피싱 이메일을 개발할 수 있습니다.

Kimsuky는 C# 기반 원격 액세스 트로이 목마 및 TutorialRAT로 알려진 정보 수집기와 관련된 캠페인과도 연관되어 있습니다. 이 악성코드는 위협 감지를 회피하기 위해 Dropbox를 공격 플랫폼으로 사용합니다. APT43의 BabyShark 위협 캠페인을 연상시키는 이 캠페인은 바로가기(LNK) 파일 사용을 포함하여 일반적인 스피어 피싱 기술을 사용합니다.