¾È·¦, Kimsuky ±×·ìÀÇ 2022³â »çÀ̹ö °ø°Ý µ¿Ç⠺м® º¸°í¼­ °ø°³
2023/03/29 23:06 ÀÔ·Â
Æ®À§ÅÍ·Î ±â»çÀü¼Û ÆäÀ̽ººÏÀ¸·Î ±â»çÀü¼Û ¹ÌÅõµ¥ÀÌ·Î ±â»çÀü¼Û ´ÙÀ½¿äÁòÀ¸·Î ±â»çÀü¼Û
¾Ç¼ºÄÚµå À¯Æ÷¸¦ À§ÇØ Á¦ÀÛµÈ ¾Ç¼º¹®¼­ ¹× ÆÄÀÏ

¾È·¦(´ëÇ¥ °­¼®±Õ)ÀÌ ÁÖ¿ä ÇØÅ·±×·ìÀÎ Kimsuky(Å´¼öÅ°)ÀÇ 2022³â °ø°Ý ¹æ½ÄÀ» ºÐ¼®ÇÑ ¡®Kimsuky ±×·ì 2022³â µ¿Çâ º¸°í¼­¡¯¸¦ ÀÚ»çÀÇ Â÷¼¼´ë À§Çù ÀÎÅÚ¸®Àü½º Ç÷§Æû ¡®¾È·¦ TIP¡¯¿¡ °ø°³Çß´Ù.
 
À̹ø º¸°í¼­¿¡¼­ ¾È·¦Àº ´Ù¾çÇÑ °æ·Î·Î À¯°ü ¾Ç¼ºÄÚµå, C2 ¼­¹ö[1] µîÀÇ Á¤º¸¸¦ ¼öÁýÇØ ±âÁ¸ Kimsuky ±×·ìÀÌ ¼öÇàÇÑ °ÍÀ¸·Î ¾Ë·ÁÁø °ø°Ý ¹æ½Ä°ú ºñ±³¡¤´ëÁ¶ÇÏ¸ç ºÐ¼®À» ÁøÇàÇß´Ù. À̸¦ ¹ÙÅÁÀ¸·Î 2022³â Kimsuky ±×·ìÀÇ ¾Ç¼ºÄÚµå À¯Æ÷ ¹æ½Ä ¹× °ø°Ý Ư¡ µîÀ» ÀÛ¼ºÇß´Ù.

¡Þ Ÿ±ê ¸ÂÃãÇü ¡®½ºÇǾîÇǽ̡¯ Àû±Ø È°¿ë

Áö³­ÇØ Kimsuky ±×·ìÀº Ÿ±êÀÌ µÈ °³ÀÎ, Á¶Á÷ ±¸¼º¿øÀ» ¼ÓÀ̱â À§ÇØ ÃÖÀûÈ­µÈ ¡®½ºÇǾîÇǽ̡¯ ¼ö¹ýÀ» Àû±ØÀûÀ¸·Î È°¿ëÇÑ °ÍÀ¸·Î ³ªÅ¸³µ´Ù. ½ºÇǾîÇǽÌÀ̶õ ƯÁ¤ÀÎÀ̳ª ƯÁ¤ Á¶Á÷À» Ç¥ÀûÀ¸·Î Á¤±³ÇÏ°Ô Á¦ÀÛµÈ ¸ÞÀÏ µîÀ» º¸³» ¾Ç¼ºÄÚµå °¨¿°À̳ª Çǽ̻çÀÌÆ® Á¢¼ÓÀ» À¯µµÇÏ´Â °ø°Ý ¹æ½ÄÀÌ´Ù.

¾È·¦ÀÌ ¼öÁýÇÑ ´Ù¾çÇÑ À¯°ü ¾Ç¼º ¹®¼­¿Í ÆÄÀÏÀ» ºÐ¼®ÇÑ °á°ú, °ø°ÝÀڴ Ÿ±ê Á¶Á÷ ¹× °³Àΰú ¿¬°ü¼ºÀÌ ³ôÀº ÁÖÁ¦·Î Á´ãȸ¡¤ÀÚ¹®¿äû¼­¡¤¿¬±¸ °á°úº¸°í¼­ µîÀ» À§ÀåÇÑ ¾Ç¼º ¹®¼­¸¦ Á¦ÀÛÇØ ¾Ç¼ºÄÚµå À¯Æ÷¿¡ È°¿ëÇß´Ù. ¶ÇÇÑ ¹®¼­³ª À̸ÞÀÏ µîÀ» ½ÇÁ¦¿Í ºÐ°£ÀÌ ¾î·Á¿ï Á¤µµ·Î Á¤±³ÇÏ°Ô Á¦ÀÛÇÑ °ÍÀ¸·Î ¹Ì·ïº¼ ¶§, °ø°Ý±×·ìÀº Ÿ±ê¿¡ ´ëÇÑ Ä¡¹ÐÇÑ »çÀü Á¶»ç¸¦ ¼öÇàÇÑ °ÍÀ¸·Î ÃßÁ¤µÈ´Ù.

¡Þ È°¿ëÇÏ´Â ¾Ç¼ºÄÚµå Á¾·ù ´Ùº¯È­

Kimsuky ±×·ìÀº °ø°Ý¿¡ È°¿ëÇÏ´Â ¾Ç¼ºÄÚµåÀÇ Á¾·ùµµ È®´ëÇß´Ù. Kimsuky ±×·ìÀº 2020³â°æºÎÅÍ Æ¯Á¤ Å°·Î±ë[2] ¶Ç´Â ¹éµµ¾î[3] ¾Ç¼ºÄڵ带 ÁÖ·Î »ç¿ëÇØ¿Â °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖ´Ù. ±×·¯³ª ¾È·¦ÀÌ ¼öÁýÇÑ À¯°ü ¾Ç¼º URL ¹× FTP(ÆÄÀÏ Àü¼Û ÇÁ·ÎÅäÄÝ) ¼­¹ö¸¦ ºÐ¼®ÇÑ °á°ú Å°·Î±ë ¾Ç¼ºÄÚµåÀÎ ¡®FlowerPower(Çöó¿öÆÄ¿ö)¡¯¿Í ¹éµµ¾î ¾Ç¼ºÄÚµåÀÎ ¡®AppleSeed(¾ÖÇýõå)¡¯ ¿Ü¿¡µµ À¥ºê¶ó¿ìÀú ³» °¢Á¾ Á¤º¸¸¦ À¯ÃâÇÏ´Â ¡®ÀÎÆ÷½ºÆ¿·¯¡¯ ¾Ç¼ºÄÚµå, ¿ø°ÝÁ¦¾î ¾Ç¼ºÄÚµåÀÎ ¡®RAT(Remote Administration Tool)¡¯µµ Ãß°¡·Î ¹ß°ßµÆ´Ù. À̸¦ ¹Ì·ïº¼ ¶§, °ø°ÝÀÚ´Â ´õ¿í ±¤¹üÀ§ÇÑ ÇÇÇظ¦ ¹ß»ý½ÃÅ°±â À§ÇØ °ø°Ý¿¡ È°¿ëÇÏ´Â ¾Ç¼ºÄڵ带 ´Ùº¯È­ÇÏ°í ÀÖ´Â °ÍÀ¸·Î º¸ÀδÙ.
 
¡Þ À¯¸í SW Ãë¾àÁ¡ È°¿ë ½Ãµµ

À¯¸í SWÀÇ Ãë¾àÁ¡À» ¾Ç¿ëÇÑ °ø°Ý ½Ãµµµµ Æ÷ÂøµÆ´Ù. ¾È·¦Àº Kimsuky ±×·ìÀÌ »ç¿ëÇÑ °ÍÀ¸·Î º¸ÀÌ´Â FTP(ÆÄÀÏ Àü¼Û ÇÁ·ÎÅäÄÝ) ¼­¹ö¿¡¼­ MS ¿ÀÇǽº °ü·Ã Ãë¾àÁ¡ÀÎ ¡®Æú¸®³ª(Folina, CVE-2022-30190)¡¯¸¦ ¾Ç¿ëÇÏ´Â ¾Ç¼ºÄڵ带 ¹ß°ßÇß´Ù. ¡®Æú¸®³ª¡¯ Ãë¾àÁ¡Àº 2022³â 1¿ù Á¦·Îµ¥ÀÌ[4] Ãë¾àÁ¡À¸·Î ÆľǵŠ6¿ù¿¡ ÆÐÄ¡°¡ ¹èÆ÷µÆ´Ù. ±×·¯³ª º¸¾È ÆÐÄ¡¸¦ Àû¿ëÇÏÁö ¾ÊÀº Á¶Á÷°ú °³ÀÎÀº ÇØ´ç Ãë¾àÁ¡À» È°¿ëÇÑ °ø°Ý¿¡ ³ëÃâµÉ ¼ö ÀÖ´Ù. ƯÈ÷, Æú¸®³ª Ãë¾àÁ¡À» ¾Ç¿ëÇÏ¸é »ç¿ëÀÚ°¡ ¾Ç¼º ¿öµå ÆÄÀÏÀ» ¿­±â¸¸ Çصµ ¾Ç¼ºÄڵ忡 °¨¿°µÉ ¼ö Àֱ⠶§¹®¿¡ Á¶Á÷°ú °³ÀÎÀº »ç¿ëÇÏ°í ÀÖ´Â SWÀÇ º¸¾È ÆÐÄ¡¸¦ ¹Ýµå½Ã Àû¿ëÇØ¾ß ÇÑ´Ù.

ÇÇÇظ¦ ¿¹¹æÇϱâ À§ÇØ Á¶Á÷ º¸¾È ´ã´çÀÚ´Â ¡âÁ¶Á÷ ³» PC¡¤¿î¿µÃ¼Á¦¡¤SW¡¤À¥»çÀÌÆ® µî¿¡ ´ëÇÑ º¸¾È ÇöȲ ÆÄ¾Ç ¡âOS¡¤SW Ãë¾àÁ¡ »ó½Ã ÆÄ¾Ç ¹× º¸¾È ÆÐÄ¡ Àû¿ë ¡âº¸¾È ¼Ö·ç¼Ç¡¤¼­ºñ½º È°¿ë ¹× ³»ºÎ ÀÓÁ÷¿ø º¸¾È ±³À° ½Ç½Ã ¡âÃֽŠ°ø°Ýµ¿Çâ ¹× Ãë¾àÁ¡ Á¤º¸ È®º¸ ¹× Á¤Ã¥ ¼ö¸³ µîÀ» ¼öÇàÇØ¾ß ÇÑ´Ù.
 
°³ÀÎÀº ¡âÃâó°¡ ºÒºÐ¸íÇÑ ¸ÞÀÏ ¼Ó ÷ºÎÆÄÀÏ¡¤URL ½ÇÇà ÀÚÁ¦ ¡âSW¡¤¿î¿µÃ¼Á¦¡¤ÀÎÅÍ³Ý ºê¶ó¿ìÀú µî ÃֽŠº¸¾È ÆÐÄ¡ Àû¿ë ¡â·Î±×ÀÎ ½Ã ºñ¹Ð¹øÈ£ ¿Ü¿¡ ÀÌÁßÀÎÁõ »ç¿ë ¡â¹é½Å ÃֽŹöÀü À¯Áö ¹× ½Ç½Ã°£ °¨½Ã±â´É ½ÇÇà µî º¸¾È ¼öÄ¢À» ÁöÄÑ¾ß ÇÑ´Ù.
 
ÁÖ¿ä ÇØÅ·±×·ìÀÎ Kimsuky ±×·ìÀº ¸íÈ®ÇÑ Å¸±êÀ» ¼³Á¤ÇÏ°í, ÀÌ Å¸±ê¿¡ ´ëÇØ °íµµÈ­µÈ °ø°ÝÀ» ÁøÇàÇÏ´Â °ÍÀ¸·Î ³ªÅ¸³µ´Ù. ÀÌ¿¡ ¾È·¦Àº Kimsuky ±×·ìÀÌ ¾ÕÀ¸·Îµµ ´Ù¾çÇÑ ¹æ½ÄÀ¸·Î °ø°Ý ¼ö¹ýÀ» º¯È­½Ãų °ÍÀ¸·Î º¸À̱⠶§¹®¿¡, Á¶Á÷°ú °³ÀÎÀº ÃֽŠ»çÀ̹ö À§Çù Á¤º¸¸¦ ½ÀµæÇÏ°í ±âº» º¸¾È ¼öÄ¢À» Àϻ󿡼­ ½ÇõÇØ¾ß ÇÑ´Ù°í ´çºÎÇß´Ù.
 
¾È·¦ TIP´Â ¾È·¦ÀÌ ÃàÀûÇÑ º¸¾È À§Çù ´ëÀÀ ±â¼ú·Â°ú ³ëÇϿ츦 Áý¾àÇÑ Â÷¼¼´ë À§Çù ÀÎÅÚ¸®Àü½º Ç÷§ÆûÀ¸·Î ¡â¾Ç¼ºÄÚµå ¹× Ãë¾àÁ¡, Æ÷·»½Ä º¸°í¼­ ¡âÃֽŠº¸¾È ´º½º, º¸¾È ±Ç°í¹® ¡âº¸¾È ÄÜÅÙÃ÷ °ü·Ã À§ÇùħÇØÁöÇ¥(IoC, Indicators of Compromise) ±â¹ÝÀÇ À§Çù À¯Çü, ¾Ç¼º ÆÄÀÏÁ¤º¸, IP, URL ¡âDDW(Deep&Dark Web) ¸ð´ÏÅ͸µ ±â´É µî Æ÷°ýÀûÀÎ À§Çù ÀÎÅÚ¸®Àü½º ¼­ºñ½º¸¦ Á¦°øÇÑ´Ù. ÀÌ¿Ü¿¡µµ »ç¿ëÀÚ°¡ ¾÷·ÎµåÇÑ ÀÇ½É ÆÄÀÏ/URL¿¡ ´ëÇØ ´ÙÂ÷¿ø ÇàÀ§ ºÐ¼®À¸·Î °á°ú¸¦ Á¦°øÇÏ´Â ¡®Å¬¶ó¿ìµå »÷µå¹Ú½º ºÐ¼®¡¯ ±â´É°ú API Á¦°ø ±â´ÉÀ¸·Î ¾È·¦ Á¦Ç° ¿Ü¿¡µµ ´Ù¾çÇÑ º¸¾È °ü¸® ¼Ö·ç¼Ç°ú ½±°Ô ¿¬µ¿ÀÌ °¡´ÉÇÑ Á¡ÀÌ Æ¯Â¡ÀÌ´Ù.

[1] C2 ¼­¹ö(Command & Control ¼­¹ö)´Â °ø°ÝÀÚ°¡ ¿ø°Ý¿¡¼­ ¾Ç¼ºÄÚµå À¯Æ÷, Á¤º¸ Å»Ãë µî °ø°ÝÀ» ¼öÇàÇϱâ À§ÇØ »ç¿ëÇÏ´Â ¼­¹ö¸¦ ÀǹÌÇÑ´Ù.
[2] Å°·Î±ë(Key Logging) ¾Ç¼ºÄÚµå´Â ÄÄÇ»ÅÍ »ç¿ëÀÚÀÇ Å°º¸µå ¿òÁ÷ÀÓÀ» ŽÁöÇØ ID³ª Æнº¿öµå, °èÁ¹øÈ£, Ä«µå¹øÈ£ µî°ú °°Àº °³ÀÎÀÇ Áß¿äÇÑ Á¤º¸¸¦ ¸ô·¡ Å»ÃëÇÏ´Â ¾Ç¼ºÄڵ带 ÀǹÌÇÑ´Ù.
[3] ¹éµµ¾î(Backdoor) ¾Ç¼ºÄÚµå´Â À̸§ ±×´ë·Î µÞ¹®À» ÀǹÌÇϸç, °ø°ÝÀÚ°¡ Â÷ÈÄ °ø°ÝÀ» ¼öÇàÇÒ ¸ñÀûÀ¸·Î(µÞ¹®Ã³·³ ¸¶À½´ë·Î µå³ªµé ¼ö ÀÖµµ·Ï) ½Ã½ºÅÛ¿¡ ¼³Ä¡ÇÏ´Â ¾Ç¼ºÄڵ带 ÀǹÌÇÑ´Ù.
[4] Á¦·Îµ¥ÀÌ(Zero-Day) Ãë¾àÁ¡Àº ÇØÅ·¿¡ ¾Ç¿ëµÉ ¼ö ÀÖ´Â ½Ã½ºÅÛ Ãë¾àÁ¡ Áß ¾ÆÁ÷ º¸¾È ÆÐÄ¡°¡ ¹ßÇ¥µÇÁö ¾ÊÀº Ãë¾àÁ¡À» ÀǹÌÇÑ´Ù.

À¥»çÀÌÆ®: http://www.ahnlab.com
[ ±è¼Ò¿µ safetv119@naver.com ]
±â»çÁ¦º¸ ¹× º¸µµÀÚ·á safetv119@naver.com
¼¼ÀÌÇÁ´º½º - ¾ÈÀüÇÑ ´ëÇѹα¹À» À§ÇØ ÇÔ²²ÇØ¿ä!(safenews.co.kr) - copyright ¨Ï »çȸ¾ÈÀü½Å¹®. ¹«´ÜÀüÀç & Àç¹èÆ÷ ±ÝÁö