요약 : 보안 외신 시큐리티어페어즈에 의하면 북한의 해킹 조직인 김수키(Kimsuky)가 새로운 멀웨어를 사용하기 시작했다고 한다. 이름은 문픽(MoonPeak)이며, 일종의 원격 접근 도구(RAT)로 분류된다. 시스코의 탈로스 팀에서 발견했다. 문픽은 제노랫(XenoRAT)이라는 멀웨어의 변종으로 보이며, 문픽 캠페인은 6월 초반부터 시작된 것으로 추정된다. 다만 아직까지 이 캠페인의 정확한 표적이나 궁극적 목표에 대해서는 다 조사되지 않았다고 한다. 김수키는 주로 한국의 여러 단체들을 노려왔던 조직이긴 하며, 최근 제노랫을 유포하기 위한 스피어피싱 캠페인을 진행하기도 했었다.


배경 : 원래 문픽 캠페인은 클라우드 서비스를 기반으로 진행됐었다. 클라우드를 공격 인프라로 활용하는 건 최근 들어 여러 공격 조직이 보여주는 전략인데, 이렇게 함으로써 악성 트래픽과 정상 트래픽의 구분을 모호하게 만들 수 있다. 그러나 김수키는 오히려 클라우드에서 공격을 진행하다가 자신들의 C&C 인프라로 옮기는 모습을 보여주었다. 클라우드 서비스 업체에서 공격용 서버를 차단하는 걸 방지하기 위해서인 것으로 보인다.

말말말 : “공격 인프라가 바뀌면서 문픽도 계속해서 변화하는 것으로 보입니다. 김수키의 무서운 점 중 하나가 바로 자신들의 필요에 따라 멀웨어를 자유롭게 바꿀 수 있다는 점입니다.” -탈로스-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>