북한 해커, 새로운 VeilShell 악성 코드 배포

APT37로 알려진 북한 정부의 지원을 받는 해킹 그룹이 캄보디아와 기타 동남아시아 국가의 피해자를 표적으로 삼기 위해 ‘VeilShell’이라는 새로운 악성코드 도구를 사용하는 것이 적발되었습니다. 미국 사이버 보안 회사인 Securonix의 연구원들은 “SHROUDED#SLEEP”이라는 이름의 캠페인을 발견했습니다. 해커는 크메르어로 작성된 피싱 이메일을 사용하여 대상이 악성 ZIP 파일을 열도록 유인합니다. 이러한 아카이브에는 합법적인 PDF 또는 Excel 문서로 위장한 Windows 바로 가기(.LNK) 파일이 포함되어 있습니다.

바로가기 파일을 열면 피해자의 컴퓨터에 VeilShell 백도어가 비밀리에 설치됩니다. VeilShell은 PowerShell로 작성된 정교한 원격 액세스 트로이 목마(RAT)입니다. 이를 통해 공격자는 손상된 시스템에 대한 완전한 제어권을 얻을 수 있습니다.

VeilShell의 기능 중 일부에는 데이터 추출, 레지스트리 항목 및 예약된 작업 생성 또는 수정, 추가 파일 다운로드, 파일 이름 변경 및 삭제, ZIP 아카이브 추출이 포함됩니다.

북한 해커들의 VeilShell 전술

이 악성코드는 안티바이러스 탐지를 피하기 위해 공격의 여러 단계 사이에 긴 절전 타이머를 사용하여 은밀하게 설계되었습니다.

Securonix 연구원들은 보고서에서 “전반적으로 위협 행위자들은 매우 인내심이 강하고 체계적이었습니다.”라고 밝혔습니다. “공격의 각 단계는 전통적인 경험적 탐지를 피하기 위해 매우 긴 수면 시간을 특징으로 합니다. VeilShell이 ​​배포되면 다음 시스템 재부팅까지 실제로 실행되지 않습니다.”

북한 국가보위부와 연계된 것으로 추정되는 APT37은 적어도 2012년부터 활동해 왔다.

이 그룹은 InkySquid, Reaper, RedEyes, Ricochet Chollima, Ruby Sleet 및 ScarCruft를 포함한 다른 이름으로도 알려져 있습니다. 북한 해킹 그룹은 주로 한국과 일본을 공격 대상으로 삼는 반면, 북한과 동남아시아 국가의 복잡한 외교 관계를 고려할 때 캄보디아를 겨냥한 공격은 주목할 만하다. 전문가들은 VeilShell 캠페인의 발견은 북한이 가하는 지속적인 사이버 위협과 국가가 후원하는 해킹에 맞서기 위해 강화된 국제 협력의 필요성을 강조한다고 말합니다.