북한의 국가 주도 해커 그룹 'Kimsuky'가 사이버 범죄 커뮤니티에서 널리 사용되는 'ClickFix' 전략을 차용한 새로운 공격 방식을 사용하고 있습니다. ClickFix는 피해자를 오해하게 만드는 오류 메시지나 프롬프트를 사용하여 피해자가 스스로 악성 코드를 실행하도록 유도하는 사회 공학적 전략입니다. 이러한 행동은 대개 악성 소프트웨어 감염을 초래합니다.
마이크로소프트의 위협 정보 팀에 따르면, 공격자는 한국 정부 공무원으로 위장하여 피해자와 점차적으로 연결을 구축합니다. 일정 수준의 신뢰가 구축되면 공격자는 PDF 첨부 파일이 있는 스피어 피싱 이메일을 보냅니다. 그러나 문서를 읽고자 하는 대상은 공격자가 제공한 코드를 붙여넣어 PowerShell을 관리자로 실행하도록 지시하는 가짜 장치 등록 링크로 안내합니다.
장치 등록을 수행하면 코드가 브라우저 기반 원격 데스크톱 도구를 설치하고, 하드코딩된 PIN을 사용하여 인증서를 다운로드하며, 피해자의 장치를 원격 서버에 등록합니다. 이로써 공격자는 데이터 유출을 위한 직접적인 접근 권한을 얻게 됩니다.
요약
- 북한의 국가 주도 해커 그룹 'Kimsuky'가 사이버 범죄 커뮤니티에서 널리 사용되는 'ClickFix' 전략을 차용한 새로운 공격 방식을 사용하고 있다.
- 공격자는 한국 정부 공무원으로 위장하여 피해자와 점차적으로 연결을 구축하고, 일정 수준의 신뢰가 구축되면 스피어 피싱 이메일을 보낸다.
- 피해자는 공격자가 제공한 코드를 붙여넣어 PowerShell을 관리자로 실행하도록 지시하는 가짜 장치 등록 링크로 안내된다.
- 장치 등록을 수행하면 코드가 브라우저 기반 원격 데스크톱 도구를 설치하고, 피해자의 장치를 원격 서버에 등록하여 공격자는 데이터 유출을 위한 직접적인 접근 권한을 얻게 된다.
- 이러한 공격은 2025년 1월부터 제한된 범위에서 발견되었으며, 국제 문제 조직, NGO, 정부 기관, 미디어 회사 등을 대상으로 하고 있다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.