BabyShark Attack Campaign
사이버 보안 연구원들은 북한 해커 그룹인 김수키(Kimsuky)가 BabyShark 악성코드를 유포하기 위해 클릭픽스(ClickFix)라는 정교한 사회 공학적 전략을 사용하는 등 지속적으로 진화하는 공격을 발견했습니다. 이러한 공격은 국가 안보 전문가를 표적으로 삼고 있으며, 인간의 속임수와 기술적 은밀성을 모두 활용하여 피해자 시스템에 장기적으로 접근합니다.
목차
스피어피싱 미끼로 전문가 타겟팅
Kimsuky 위협 그룹은 2025년 1월부터 스피어피싱 이메일을 활발하게 배포해 왔으며, 처음에는 한국의 국가 안보 전문가들을 표적으로 삼았습니다. 공격자들은 합법적인 독일어 비즈니스 간행물 담당자로 위장하여 가짜 인터뷰 요청으로 피해자들을 유인합니다. 이러한 이메일에는 악성 RAR 아카이브 링크가 포함되어 있으며, 이 파일을 열면 Visual Basic 스크립트(VBS)가 실행됩니다. 이 스크립트는 가짜 Google Docs 파일을 실행하여 합법적인 것처럼 보이도록 하면서, 예약된 작업을 통해 지속성을 확보하고 시스템 정보를 훔치는 코드를 은밀하게 실행합니다.
기만적인 페르소나와 수정된 ClickFix 변형
2025년 3월, Kimsuky는 미국 고위 국가 안보 관리를 사칭하여 수사를 확대했습니다. 새로운 피싱 이메일에는 조작된 회의 질문 목록이 담긴 PDF 파일이 포함되어 있었고, 수신자가 보안 콘텐츠에 접근하기 위해 '인증 코드'를 입력하도록 속였습니다. 이는 ClickFix의 방식이 가짜 오류 수정에서 코드 입력으로 전환되었음을 보여주며, 마치 진짜인 것처럼 착각하게 만듭니다.
2025년 4월, 또 다른 변종이 나타났는데, 이번에는 일본 외교관을 사칭하고 미국 주재 일본 대사와의 회담을 암시했습니다. 이 공격에서도 다시 미끼 Google Docs 페이지를 사용하여 난독화된 PowerShell 명령 실행을 위장하여 지속적인 C2 통신을 통해 데이터 유출과 페이로드 배포를 허용했습니다.
가짜 구인 포털 및 팝업 무기화
더욱 정교한 수법으로, Kimsuky는 국방 연구 채용 포털을 사칭하는 가짜 웹사이트를 이용하기 시작했습니다. 이러한 사이트는 가짜 구인 공고를 표시했고, 이를 클릭하면 ClickFix 스타일의 팝업이 나타나 사용자에게 Windows 실행 대화 상자를 열고 PowerShell 명령을 실행하도록 유도했습니다.
이 명령은 사용자에게 Chrome 원격 데스크톱을 설치하도록 지시하여 공격자가 C2 도메인 kida.plusdocs.kro.kr을 통해 SSH를 통해 원격으로 접근할 수 있도록 했습니다. C2 서버의 잘못된 설정으로 인해 피해자 데이터가 노출되었는데, 이는 손상된 한국 시스템에서 유출된 것으로 추정됩니다. 또한, 이 인프라에 연결된 중국 IP에는 키로깅 로그와 복잡한 다단계 체인을 통해 BabyShark를 배포하는 Proton Drive ZIP 압축 파일이 포함되어 있었습니다.
최근 혁신: 가짜 CAPTCHA 및 AutoIt 배포
2025년 6월부터 Kimsuky는 가짜 네이버 CAPTCHA 확인 페이지를 악용하기 시작했습니다. 이 가짜 페이지는 사용자에게 PowerShell 명령을 실행 대화 상자에 붙여넣어 AutoIt 스크립트를 실행하고 민감한 정보를 수집하도록 지시했습니다. 이는 Kimsuky가 스크립트 기반 도구와 소셜 엔지니어링을 적극적으로 활용하여 피해자 환경에서 입지를 굳건히 하고 있음을 보여줍니다.
피싱 공격의 확대: 학문적 위장과 HWP 공격
ClickFix 외에도 Kimsuky는 학술 서신으로 위장한 피싱 캠페인에도 연루된 것으로 보입니다. 이 이메일은 연구 논문 검토 요청으로 보이며, 암호로 보호된 HWP 문서가 포함되어 있습니다. 악성 문서가 열리면 내장된 OLE 객체를 활용하여 PowerShell 스크립트를 실행합니다. 이 스크립트는 상세한 시스템 정찰을 수행하고 합법적인 원격 데스크톱 도구인 AnyDesk를 배포하여 지속적인 원격 액세스를 유지합니다.
주요 내용: 전략 및 기술 개요
Kimsuky의 소셜 엔지니어링 공격은 다음에 의존합니다.
- 신뢰할 수 있는 인물 및 기관(언론인, 외교관, 학자) 사칭
- 악성 활동을 가리기 위해 미끼 파일(Google Docs, PDF, HWP 문서) 사용
- 가짜 오류, 인증 프롬프트 또는 CAPTCHA 페이지를 통해 사용자가 PowerShell 명령을 실행하도록 조작
캠페인의 기술적 특징은 다음과 같습니다 .
- 예약된 작업 및 원격 액세스 소프트웨어(AnyDesk, Chrome 원격 데스크톱)를 통한 지속적인 액세스
- BabyShark 맬웨어의 다단계 전달
- AutoIt와 같은 스크립트 기반 자동화 도구 사용
- 도난당한 피해자 데이터를 노출시키는 악용된 인프라 취약점
결론: 끊임없이 진화하는 위협
BabyShark 캠페인은 Kimsuky가 소셜 엔지니어링 기법을 진화시키고 합법적인 소프트웨어와 공공 인프라를 악의적인 목적으로 활용하는 민첩성을 보여줍니다. ClickFix 전략은 위협 행위자들이 시스템 취약점뿐 아니라 인간의 행동을 지속적으로 악용하는 방식을 보여줍니다. 이처럼 정교한 위협 행위자들이 초래하는 위험을 완화하기 위해서는 경계, 다층적인 방어 전략, 그리고 사용자 교육이 여전히 매우 중요합니다.
