김수키(Kimsuky) ‘HttpTroy’ 유포 정황 — 스피어피싱·ZIP 첨부 기반 백도어 유포 분석

김수키(Kimsuky) ‘HttpTroy’ 유포 정황 — 스피어피싱·ZIP 첨부 기반 백도어 유포 분석

1️⃣ 개요

국내 특정 기관을 겨냥한 스피어피싱 공격을 통해 북한 연계 해킹조직 김수키(Kimsuky)가 신종 백도어인 HttpTroy를 유포한 정황이 확인됐다. 보안업체 젠 디지털의 분석에 따르면 공격자는 ZIP 첨부파일을 통해 드로퍼 → 로더(MemLoad) → 최종 백도어(HttpTroy)로 이어지는 감염 체인을 사용했다.

관련 보도와 공개된 분석 자료는 데일리시큐 등 보안매체에서도 동일하게 보도되었다.

2️⃣ 공격 체인(요약)

1. 피싱 메일·첨부: 예시 파일명 — 250908_A_HK이노션_SecuwaySSL VPN Manager U100S 100user_견적서.zip. SSL VPN 견적서처럼 위장.
2. 드롭퍼 실행: 동일 파일명을 가진 SCR 실행파일(고언어로 제작)이 포함되어 있으며 실행 시 내부에 포함된 세 파일을 추출.
3. 미끼 문서 표시: 사용자 눈속임용 PDF가 화면에 표시되어 의심을 늦춤.
4. 로더 실행(MemLoad): 백그라운드에서 실행되어 예약 작업(예: AhnlabUpdate)을 등록해 지속성 확보 시도.
5. 최종 페이로드(HttpTroy): 로더가 DLL 형태의 HttpTroy를 복호화해 메모리에서 실행 — 원격 제어·데이터 유출 기능 활성화.

3️⃣ HttpTroy 기술적 특징

• 주요 기능: 파일 업·다운로드, 스크린샷 캡처, 관리자 권한 명령 실행, 메모리 내 실행 파일 적재, 리버스 셸, 프로세스 종료, 로그 삭제 등 광범위한 원격 제어 기능 보유.
• 통신 방식: HTTP POST 기반 C2 통신을 사용 — 일반 포트·프로토콜을 이용해 탐지 회피 시도.
• 난독화 기법: API 호출을 커스텀 해시로 은닉, 문자열은 XOR·SIMD 기반 난독화로 런타임에 동적 구성. 동일 문자열/해시의 재사용을 피하고 산술·논리 연산으로 구성해 정적 분석 방해.
• 지속성 기법: 예약 작업(예: AhnlabUpdate) 등록을 통해 재부팅 후에도 실행 유지 시도 — 보안 제품명 사칭으로 탐지 회피 목적.

4️⃣ 포렌식·탐지 지표(IOC)

분석에 기반한 탐지 지표(우선 점검 권장 항목):

• 첨부파일/실행파일 패턴: 첨부 ZIP 내부의 SCR 실행파일 및 내부 압축 해제 흔적
• 예약 작업명: AhnlabUpdate 등 보안업체 사칭 스케줄 등록 여부
• /tmp 또는 임시 경로에서의 의심 DLL/스크립트 및 추출된 파일 잔존
• 프로세스: MemLoad, 의심되는 로더 프로세스 및 비정상적인 DLL 로드
• 네트워크: HTTP POST를 사용하는 비정상 외부 연결(특정 C2 패턴, 사용자 에이전트·헤더 이상)
• 난독화 흔적: 실행 시점에만 구성되는 문자열 패턴, 런타임 복호화 활동(메모리 내 패턴 탐지 권장)

# 간단한 탐지 예시(로그·시스템 점검용)

# 1) 예약 작업 확인 (Windows 예시)
schtasks /Query /FO LIST | findstr /I "AhnlabUpdate"

# 2) 프로세스 및 DLL 로드 확인 (Windows PowerShell)
Get-Process | Where-Object { $_.Name -like "*MemLoad*" }
Get-WmiObject Win32_Process | Select-Object Name, CommandLine | Select-String -Pattern "MemLoad|HttpTroy|AhnlabUpdate"

# 3) 네트워크 로그(프록시/방화벽)에서 HTTP POST 패턴 검색
# (예시) proxy_logs: 검색 키워드 'POST' + 의심 도메인 또는 비정상 User-Agent

# 4) 파일 시스템(임시 경로) 검사
dir /s /b %TEMP%\*VM* %TEMP%\*SDMP* 

5️⃣ 연계 위협: 라자루스의 BLINDINGCAN 사례

공개자료에서는 김수키의 HttpTroy 캠페인과 별개로, 라자루스(Lazarus) 그룹이 캐나다 내 표적을 겨냥해 원격제어 악성코드 BLINDINGCAN을 배포한 정황도 보고되었다. 해당 공격은 'Comebacker' 드로퍼를 통해 BLINDINGCAN을 서비스 형태로 설치·운용하는 방식이 관찰되었다.

6️⃣ 대응 권고(실무)

1. 첨부파일 실행 차단·격리: 의심 ZIP/SCR 실행파일의 실행 흔적을 확인하고, 발견 즉시 해당 시스템을 네트워크 격리.
2. 예약 작업·서비스 검사: AhnlabUpdate 등 의심 스케줄 및 서비스 등록 여부 즉시 점검·삭제.
3. EDR/AV 스캔 및 메모리 덤프: 메모리 기반 난독화·런타임 복호화 흔적을 확보하기 위해 메모리 덤프 및 상세 EDR 검색 수행.
4. 네트워크 탐지 룰 추가: HTTP POST 기반 의심 C2 패턴, 비정상 User-Agent/헤더 기반 탐지 룰을 SIEM/IDS에 추가.
5. 포렌식 증거 보존: 원본 첨부파일, 로그, 프로세스·메모리 스냅샷을 무결성 유지 상태로 보관.
6. 패스워드·자격증명 회수: 감염 의심 시스템에서 사용된 자격증명·토큰을 전면 교체 및 감사.

7️⃣ 권장 방어·예방 조치

• 메일 게이트웨이에서 첨부 ZIP 내부 실행파일(SCR, EXE 등) 자동 분석 및 차단
• 스팸·스피어피싱 탐지 룰 강화(정형·비정형 분석 병행)
• 임시 경로·예약 작업 모니터링 자동화
• 코드 실행 전 샌드박스 분석 및 사용자 교육(의심 첨부 실행 금지)
• 난독화·메모리 기법 탐지에 대해 행위 기반 EDR 룰 확장

8️⃣ 현재 상황 및 결론

현재까지 공개된 바에 따르면 김수키의 HttpTroy 캠페인으로 인한 확인된 피해 사례는 보고되지 않았다. 다만 공격 체인의 설계상 성공 시 시스템 완전 제어가 가능하므로 표적 환경에서는 긴급한 점검과 포렌식 조사가 권고된다.

보안업체 젠 디지털의 분석과 보안매체 보도를 바탕으로 작성되었으며, 표적 기관의 추가 조사 결과가 공개되면 인디케이터(IOC)와 대응 권고를 업데이트할 것입니다.

 

[관련 포스팅]

2025.10.19 - [IT 소식 뉴스/IT 소식] - 북한 연계 해킹조직, BeaverTail·OtterCookie 기능 통합해 공격 툴 고도화

북한 연계 해킹조직, BeaverTail·OtterCookie 기능 통합해 공격 툴 고도화