forceCopy Stealer

북한과 연계된 해킹 그룹인 Kimsuky가 스피어 피싱 공격을 사용하여 새롭게 식별된 정보 도용 맬웨어인 forceCopy를 배포한 것으로 밝혀졌습니다. 이러한 공격은 Microsoft Office 또는 PDF 문서처럼 보이도록 만든 위장된 Windows 바로 가기(LNK) 파일이 포함된 피싱 이메일로 시작됩니다. 파일을 모르는 수신자가 모르게 열면 악성 명령을 실행하는 연쇄 반응이 시작됩니다.

합법적인 도구를 이용해 위협적인 페이로드 전달

사용자가 유해한 첨부 파일과 상호 작용하면 감염 프로세스는 PowerShell 또는 'mshta.exe'를 실행하여 시작됩니다. 이는 HTML 애플리케이션(HTA) 파일을 실행하는 데 사용되는 합법적인 Windows 유틸리티입니다. 이 기술을 사용하면 공격자는 의심을 제기하지 않고 외부 소스에서 추가 맬웨어 페이로드를 가져와 배포할 수 있습니다.

트로이 목마 및 원격 데스크톱 도구 배포

공격은 궁극적으로 PEBBLEDASH 트로이 목마와 원격 데스크톱 액세스에 사용되는 오픈 소스 도구인 RDP 래퍼의 수정된 버전을 포함한 알려진 위협의 배포로 이어집니다. 이와 함께 원격 데스크톱 프로토콜(RDP)을 통해 손상된 장치와 공격자의 외부 네트워크 간의 지속적인 연결을 보장하기 위해 프록시 맬웨어가 도입됩니다.

키로거 및 forceCopy: 저장된 자격 증명 타겟팅

Kimsuky는 또한 PowerShell 기반 키로거를 사용하여 키 입력을 캡처하여 민감한 정보를 훔치는 능력을 더욱 강화하는 것으로 나타났습니다. 또한 새로 발견된 forceCopy 맬웨어는 웹 브라우저 디렉토리에 저장된 파일을 추출하도록 특별히 설계되었습니다. 이는 보안 제한을 우회하고 로그인 자격 증명이 종종 저장되는 브라우저 구성 파일에 직접 액세스하려는 시도를 시사합니다.

전략적 전환: 호스트 제어를 위한 RDP 사용

이 그룹이 RDP Wrapper와 프록시 맬웨어에 의존하는 것은 그들의 운영에서 전술적 변화를 강조합니다. 이전에 Kimsuky는 주로 맞춤형 백도어를 사용하여 감염된 시스템을 제어했습니다. 이제 널리 사용 가능한 도구를 활용하여 탐지 가능성을 줄이면서 지속성을 유지하려고 합니다.

APT43: 오랜 사이버 스파이 위협

APT43, Black Banshee, Emerald Sleet 등의 별칭으로도 알려진 Kimsuky는 북한의 주요 해외 정보 기관인 정찰총국(RGB)에서 운영되는 것으로 알려져 있습니다. 적어도 2012년부터 활동해 온 이 그룹은 이메일 보안 방어를 우회하기 위해 정교한 사회 공학 공격을 실행한 오랜 역사를 가지고 있습니다.

러시아 기반 피싱 캠페인으로 운영 확장

최근 조사 결과에 따르면 Kimsuky는 러시아 이메일 서비스에서 보낸 피싱 이메일을 사용하여 신원 도용 캠페인을 수행해 왔습니다. 2024년 12월에 관찰된 이러한 적응은 고가치 개인과 조직을 표적으로 삼기 위해 소셜 엔지니어링 기술을 계속 개선하면서 그룹의 진화하는 전략을 반영합니다.