뉴스로 돌아가기
속보

북한 Konni APT, 블록체인 엔지니어를 대상으로 AI 생성 PowerShell 멀웨어 공격

3분 읽기출처: BleepingComputer

북한 연계 APT 그룹 Konni가 AI 생성 PowerShell 멀웨어를 활용해 블록체인 엔지니어를 표적 공격 중입니다. 최신 공격 기법과 대응 방안을 알아보세요.

북한 Konni 그룹, AI 기반 멀웨어로 블록체인 엔지니어 표적 공격

북한과 연계된 지능형 지속 위협(APT) 그룹 Konni(Opal Sleet 또는 TA406로도 추적됨)가 AI 생성 PowerShell 멀웨어를 활용해 블록체인 개발자 및 엔지니어를 대상으로 한 표적 공격 캠페인을 진행 중인 것으로 확인되었습니다. 이번 공격은 사이버 스파이 능력을 강화하기 위해 인공지능(AI)을 활용하는 Konni 그룹의 전술 진화를 보여줍니다.

공격의 기술적 세부 사항

보안 연구진은 Konni 그룹이 악성 PowerShell 스크립트를 배포해 탐지 회피와 동시에 정찰 및 데이터 유출을 수행하는 것을 관찰했습니다. 이 멀웨어는 AI 생성 또는 AI 지원으로 추정되며, 위협 행위자들이 페이로드를 신속하게 반복 및 난독화할 수 있도록 합니다. 주요 특징은 다음과 같습니다:

  • PowerShell 기반 실행: 멀웨어는 PowerShell의 기본 기능을 활용해 스크립트 블록 로깅이나 AMSI(Antimalware Scan Interface) 우회 기법 등 전통적인 보안 제어를 회피합니다.
  • AI 기반 난독화: AI 도구를 사용해 다형성 코드를 자동 생성함으로써 정적 분석 및 시그니처 기반 탐지를 더욱 어렵게 만듭니다.
  • 표적 피싱 벡터: 초기 침투는 블록체인 전문가를 대상으로 한 스피어 피싱 이메일을 통해 이루어지며, 주로 산업 도구, 채용 제안, 기술 업데이트 등을 사칭합니다.
  • 지속성 메커니즘: 멀웨어는 예약 작업 또는 레지스트리 변경을 통해 지속성을 확보해 장기적인 시스템 접근을 보장합니다.

현재까지 이 캠페인과 관련된 특정 CVE ID는 보고되지 않았습니다. 그러나 공격 방식은 Konni 그룹의 역사적 공격 패턴인 공급망 공격소셜 엔지니어링과 일치합니다.

영향 분석

북한 **정찰총국(RGB)**의 하위 그룹인 Konni는 정부, 국방, 암호화폐 분야를 오랫동안 표적으로 삼아왔습니다. 이번 최신 캠페인은 다음과 같은 점을 강조합니다:

  • 스파이 목적: 그룹의 주요 목표는 블록체인 독점 코드, 암호화 키, 민감한 프로젝트 정보 등의 탈취를 통한 정보 수집으로 보입니다.
  • 금전적 동기: 북한의 국가 운영 자금 조달을 위한 사이버 범죄 의존도를 고려할 때, 블록체인 엔지니어 표적 공격은 암호화폐 절도 또는 자금 세탁을 목적으로 할 가능성이 있습니다.
  • 방어 회피: AI 생성 멀웨어의 사용은 전통적인 엔드포인트 보호 솔루션이 빠르게 진화하는 페이로드를 탐지하는 데 어려움을 겪게 만듭니다.

보안 팀을 위한 권장 사항

블록체인, 핀테크, 암호화폐 분야의 조직은 다음 완화 조치를 구현해야 합니다:

  1. PowerShell 보안 강화:

    • 가능한 경우 비관리자 사용자에 대해 PowerShell을 비활성화 또는 제한합니다.
    • PowerShell 로깅(스크립트 블록 로깅, 모듈 로깅)을 활성화하고 의심스러운 활동을 모니터링합니다.
    • AMSI 기반 보호를 배포해 실시간으로 악성 스크립트를 탐지합니다.

  2. 피싱 방어 강화:

    • 엔지니어를 대상으로 표적 보안 인식 교육을 실시해 AI 생성 피싱 유인물의 위험을 강조합니다.
    • 이메일 인증 프로토콜(DMARC, DKIM, SPF)을 구현해 스푸핑 위험을 줄입니다.

  3. 이상 행동 모니터링:

    • 엔드포인트 탐지 및 대응(EDR) 솔루션을 사용해 비정상적인 PowerShell 실행 또는 횡적 이동을 식별합니다.
    • 네트워크 세분화를 통해 중요한 환경 내 멀웨어 확산을 제한합니다.

  4. 위협 인텔리전스 공유:

    • Konni 캠페인과 관련된 **침해 지표(IOC)**를 공유하기 위해 블록체인 보안 연합과 같은 산업 그룹과 협력합니다.

결론

Konni 그룹의 AI 생성 멀웨어 채택은 북한 사이버 작전의 우려할 만한 진화를 보여줍니다. 위협 행위자들이 AI를 툴킷에 점점 더 통합함에 따라, 보안 팀은 행위 기반 탐지, 사전 위협 탐색, 산업 간 협력을 우선시해야 합니다. 특히 블록체인 개발자는 정교한 피싱 및 공급망 공격을 경계해야 합니다.

자세한 내용은 BleepingComputer의 원본 보고서를 참조하세요.

공유

TwitterLinkedIn