북한 해킹 그룹 코니(Konni)가 인공지능 기반 악성코드를 이용해 블록체인 엔지니어들을 공격하고 있다. 보도에 따르면, 이 해킹 그룹은 AI로 생성된 PowerShell 악성코드를 블록체인 업계 개발자와 엔지니어들을 대상으로 배포하고 있다.
북한 해킹 그룹은 적어도 2014년부터 활동해 온 것으로 추정되며, APT37 및 Kimusky 활동 그룹과 연관되어 있습니다. 이들은 한국, 우크라이나, 러시아 및 여러 유럽 국가에 걸쳐 다양한 조직을 공격 대상으로 삼아 왔습니다. 체크포인트 연구원들이 분석한 위협 샘플에 따르면, 이 북한 그룹의 최근 공격 대상은 아시아 태평양 지역입니다.
북한의 코니 그룹이 AI로 생성된 악성 소프트웨어를 배포했습니다.
보고서에서 연구원들은 해당 악성코드가 일본, 인도, 호주에서 발견된 사용자들에 의해 제출되었다고 밝혔습니다. 공격은 피해자가 Discord 링크를 받는 것으로 시작되는데, 이 링크를 통해 PDF 미끼 파일과 악성 LNK 바로가기 파일이 포함된 ZIP 압축 파일을 다운로드할 수 있습니다. LNK 파일은 내장된 PowerShell 로더를 실행하여 DOCX 문서와 PowerShell 백도어, 두 개의 배치 파일, UAC 우회 실행 파일이 포함된 CAB 압축 파일을 추출합니다.
바로가기 파일이 실행되면 DOCX 파일이 열리고 캐비닛 파일에 포함된 배치 파일이 실행됩니다. 이 미끼 DOCX 문서는 해커가 개발 환경을 침해하여 인프라, API 자격 증명, 지갑 접근 권한, 그리고 최종적으로는 디지털 자산 보유량과 같은 민감한 자산에 접근하려는 의도를 보여줍니다. 첫 번째 배치 파일은 백도어와 두 번째 배치 파일을 위한 스테이징 디렉토리를 생성합니다.
또한, 이 악성 프로그램은 OneDrive 시작 작업과 유사하게 매시간 예약 작업을 생성합니다. 이 작업은 디스크에서 XOR로 암호화된 PowerShell 스크립트를 읽어 메모리에서 복호화하여 실행합니다. 모든 단계를 완료한 후에는 감염 흔적을 완전히 지우기 위해 스스로 삭제됩니다. 이 PowerShell 백도어는 산술 기반 문자열 인코딩, 런타임 문자열 재구성, 그리고 "Invoked-Expression"을 사용한 최종 논리 실행 등 다양한 기법을 통해 출처를 철저히 숨깁니다.
연구원들에 따르면, 해당 PowerShell 악성코드는 전통적인 방식으로 제작된 악성코드가 아니라 AI를 활용한 개발 가능성을 시사합니다. 이를 뒷받침하는 증거로는 스크립트 상단에 명확하고 체계적인 문서가 포함되어 있다는 점을 들 수 있는데, 이는 악성코드 개발에서는 매우 이례적인 특징입니다. 또한, 깔끔하고 모듈화된 구조와 파일 내에 "# <- 프로젝트 고유 UUID"라는 주석이 있는 것도 그 증거입니다. CheckPoint는 이러한 주석 형식이 북한 해커들이 LLM(Local Load Management) 도구를 이용해 생성한 코드의 특징이라고 지적했습니다.
CheckPoint 연구원들이 악성 소프트웨어에 대한 자세한 정보를 공개했습니다.
연구원들은 이러한 표현 방식이 모델이 사용자에게 자리 표시자 값을 사용자 지정하는 방법을 안내한다는 것을 보여준다고 설명했습니다. 그들은 이러한 설명이 AI가 생성한 스크립트와 튜토리얼에서 흔히 볼 수 있다고 말했습니다. 악성 프로그램은 실행 전에 하드웨어, 소프트웨어 및 사용자 활동 검사를 수행하여 분석 환경에서 실행되고 있지 않은지 확인합니다. 이러한 사항이 확인되면 고유한 호스트 ID를 생성합니다. 그 후 지정된 실행 경로를 따릅니다.
백도어가 감염된 장치에서 완전히 활성화되어 실행되면, 악성코드는 주기적으로 명령 및 제어(C2) 서버에 접속하여 호스트 메타데이터를 전송하고 임의의 간격으로 서버를 폴링합니다. C2 서버에 PowerShell 코드가 포함되어 있으면 스크립트 블록으로 변환되어 백그라운드 작업을 통해 활동을 수행합니다. 체크포인트는 이전 실행 파일 형식과 미끼 이름을 토대로 이러한 공격이 북한의 Konni라는 위협 행위자의 소행일 가능성이 높다고 지적했습니다.
또한 연구진은 동일한 스크립트 이름이 겹치는 것 외에도 이전 공격들과 실행 체인 구조에서 공통적인 요소들이 발견되었다고 주장했습니다. 연구진은 또한 이번 공격과 관련된 침해 지표를 공개하여 방어자들이 북한의 Konni 캠페인 공격을 인지하고 자산을 보호할 수 있도록 지원했습니다.
