북한 사이버 해킹 그룹 킴수키 조직의 사이버 공격 캠페인이 발견됐다. 이 그룹은 널리 사용되는 원격 지원 도구인 스크린컨넥트(ScreenConnect)의 취약점을 활용하여 전 세계 조직을 대상으로 공격을 시작했으며, ToddlerShark라는 새로운 멀웨어 변종을 배포하기 시작했다.
킴수키는 스크린커넥트에서 CVE-2024-1708과 CVE-2024-1709라는 두 가지 중요한 취약점을 익스플로잇했다. 이러한 취약점을 통해 공격자는 인증을 우회하고 취약한 서버에서 원격 코드를 실행할 수 있다. ScreenConnect의 개발사인 컨넥트와이즈는 긴급 보안 권고문을 발표하고 고객들에게 서버를 23.9.8 버전 이상으로 업데이트하여 악용 위험을 완화할 것을 촉구했다.
이번에 새롭게 발견된 멀웨어 변종인 ToddlerShark는 다양한 특성을 보여 탐지 및 분석이 특히 어렵다는 것이 전문가들의 의견이다. 이 멀웨어는 이전에 알려진 킴수키의 멀웨어 변종인 베이비샤크와 레콘샤크의 변종으로 추정된다. 장기적인 스파이 활동과 정보 수집을 위해 설계된 ToddlerShark는 정교한 기술을 사용하여 탐지를 회피하고 손상된 시스템에 대한 지속적인 액세스를 유지한다.
킴수키 조직이 취약한 ScreenConnect 엔드포인트에 액세스하면 합법적인 마이크로소프트 바이너리를 사용하여 악성 스크립트를 실행하고 자신의 활동을 정상적인 시스템 프로세스로 위장한다. 이 멀웨어는 난독화 기술을 사용하여 코드를 숨기고 시스템 레지스트리를 수정하여 보안시스템을 우회한다. 지속적인 액세스를 보장하기 위해 예약된 작업을 생성하여 위협 행위자가 민감한 데이터를 지속적으로 훔칠 수 있도록 하는 것이다.
ToddlerShark의 가장 우려스러운 측면 중 하나는 바로, 이 멀웨어가 무작위로 생성된 함수, 변수 이름, 코드 위치를 사용하여 구조 패턴을 변경함으로써 기존의 시그니처 기반 탐지 방법을 회피한다는 것이다. 또한 동적으로 생성된 URL과 고유한 페이로드 해시는 탐지를 어렵게 할 수 있어 한국 기관과 기업들의 각별한 주의가 요구되는 상황이다.
■[G-PRIVACY 2024] 하반기 최대 개인정보보호&정보보안 컨퍼런스 개최 (7시간 보안교육 이수)
△일시: 2024년 3월 12일(화)
△장소: 서울 양재동 더케이호텔서울 2층 가야금홀
△주최: 데일리시큐
△참석대상자: 전국 공공기관 및 지자체, 교육기관, 공기업, 일반기업, 금융기관 등 개인정보보호 책임자, 개인정보보호 담당자, CISO, 정보보안 실무자 등 1,000여 명 이상(현업 보안업무와 관련 없는 자는 참석불가)
△전시회: 국내외 최신 정보보안 솔루션 소개
△보안기업 전시회 참가신청: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
△참관객 사전등록: 클릭
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
