Kimsuky, 더 은밀해졌다: 새 백도어 ‘HttpTroy’로 메모리 상에서 숨쉬는 공격 🕵️‍♀️💻

북한 연계 위협 그룹 Kimsuky가 또 한 번 전술을 진화시켰습니다.
한국 사용자를 노린 최근 캠페인에서 HttpTroy라는 이름의 새 백도어를 투입해,
탐지와 분석을 어렵게 만드는 은닉 기법을 한층 강화했다는 분석이 나왔어요.

이 백도어는 단순한 원격 제어를 넘어 파일 이동, 스크린샷 촬영, 명령 실행 등 공격자가 원하는 거의 모든 조작을 가능하게 합니다. 무엇보다 통신 암호화, 페이로드 난독화, 메모리 상 실행(In-Memory Execution) 등으로 흔적을 최소화해 EDR·백신의 정적 탐지를 회피하도록 설계된 점이 핵심이에요. 😨

이번 공격 체인은 소형 드로퍼 → 로더(MemLoad) → 최종 백도어(HttpTroy) 순서로 이어지며,
처음 사용자에게 전달되는 파일은 비밀번호 없는 ZIP 안에 담긴 Windows 스크린세이버(.scr) 입니다.
사용자가 이 .scr을 실행하면 한글로 된 ‘세금계산서(Invoice)’ PDF 미끼 화면을 보여주면서 뒤에서는 조용히 감염 절차가 진행되는 구조죠.

겉으로는 ‘문서 보기’처럼 보이지만, 실제로는 최종 RAT가 메모리에서 뛰기 시작하는 순간입니다. 🧩

---

왜 HttpTroy가 문제일까? — ‘보이는 것’보다 ‘보이지 않는 것’이 강해졌다 🫥

연구자들에 따르면, HttpTroy는 아래 특성으로 탐지 회피와 분석 방해에 집중합니다.

• 암호화 통신: C2와의 트래픽을 암호화해 네트워크 기반 탐지를 어렵게 만듦
• 페이로드 난독화: 단계별로 페이로드를 숨기거나 변형해서 정적 분석을 방해
• 메모리 상 실행: 디스크에 뚜렷한 흔적을 남기지 않고 코드가 메모리에서 동작
• 엔드포인트 흔적 최소화: 로더(MemLoad)와 모듈을 나눠 다단계(모듈식) 로 실행 → 분석 시간과 난이도 급상승

ESET, Securonix 등의 연구자들도 한목소리예요.
Kimsuky와 Lazarus 같은 북한 연계 그룹은 이미 오랫동안 난독화·안티분석·메모리 실행·동적 API 로딩을 섞어 쓴 전력이 있고, 이번 HttpTroy 역시 그 연장선에 있으면서 조금 더 간결하고 안정적으로 다듬은 느낌이라는 거죠.
공격자가 꼭 복잡한 기능을 많이 넣어야만 강력한 건 아니에요.
필요한 핵심만 남겨 안정성과 은닉성을 높이는 방향이 오히려 실전에서 더 무섭습니다. 🧠

---

공격 흐름 한눈에 보기 🔗

1. ZIP(스크린세이버 .scr) 수신
   • 이메일 첨부 또는 클라우드 링크 형태
   • 실행 즉시 한글 PDF 인보이스 미끼 노출(사용자 방심 유도)
2. 드로퍼 → MemLoad(로더)
   • 내부에 숨긴(난독화된) 페이로드를 복호화 → 메모리 매핑
   • 디스크 흔적 최소화
3. 최종 페이로드: HttpTroy 백도어
   • 파일 이동/가져오기, 스크린샷, 명령 실행 등 원격 제어
   • 통신 암호화 + 코드 난독화 + 인메모리 실행

포인트: 사용자에게는 ‘문서 보기’처럼 보이고, 백엔드에서는 다단계로 올라타 RAT를 메모리에 바로 심는 방식이에요.

---

‘합법 인프라’에 숨어드는 전략: 더티한 코드는 감추고, 깨끗한 외양만 보여준다 🧴

Kimsuky(그리고 Lazarus)는 정상 서비스와 Windows 기본 프로세스를 적극적으로 악용해 보안 솔루션의 신뢰 모델을 우회하는 데 능숙합니다. 예컨대:

• 정상 클라우드/콘텐츠 전송 네트워크(CDN) 로 위장(트래픽이 평범해 보여 탐지 어렵게)
• 상용 암호화 제품·정상 프로세스 사용(‘정상 행위처럼’ 보이도록 연출)
• 다단계 암호화·난독화로 분석가의 시간을 갉아먹음

이런 전술은 “뭔가 수상한 비정상 바이너리” 대신 ‘정상처럼 보이는 행동’ 뒤에 악성 의도를 숨기는 방식이기 때문에, 네트워크 경계 기반의 고전적 방어만으로는 식별이 쉽지 않아요.

그래서 행위 기반(Behavioral) 탐지가 점점 더 중요해지는 거죠. 👀

---

Kimsuky의 최근 흐름: 단순하지만, 꾸준하고, 맥락에 강하다 🎯

• 여름: 외교 공관 대상 ‘비밀번호 압축’ 미끼
• 가을: AI 합성 군인 신분증(딥페이크) 기반 사회공학
• 현재: HttpTroy 투입으로 메모리 실행·은닉 강화

이 그룹은 ‘맥락형 사회공학’ 을 매우 잘 씁니다. 수신자의 전문 분야·관심사·직무 맥락에 맞춘 미끼(예: 외교/정책/세금/산업 자료, 공문서 형태)를 고르고, 문서 파일·스크린세이버·LNK 등 실행 유도력이 높은 포맷을 섞습니다. 공격 난이도 자체가 극단적으로 높지 않아도, 맥락이 잘 맞으면 클릭률이 올라가고, 그 한 번의 클릭으로 인메모리 RAT까지 이어지면 방어자를 곤란하게 만들기 충분하거든요.

---

방어·대응: 실무에서 바로 적용할 체크리스트 ✅

원칙: “정상처럼 보이는 비정상”을 잡으려면, 행위 기반 탐지와 메모리 가시성이 필수입니다.

1) 이메일·첨부 파일 정책

• .scr, .lnk, .iso, .img 등 실행 유도 포맷 차단/격리
• 외부 출처 문서에 Mark-of-the-Web(MOTW) 적용 강제 및 매크로 기본 차단
• 비밀번호 없는 ZIP/7z라도 발신 도메인·콘텍스트 이상 시 샌드박스 제출 후 개봉

2) 엔드포인트·메모리 가시성

• EDR/NGAV의 메모리 스캔 기능 활성화(인메모리 매핑·Reflective Load 징후 탐지)
• AMSI/ETW 비활성화 시도, 동적 API 로딩(GetProcAddress 등) 행위 룰 강화
• 스크린샷·클립보드·키보드 후킹 관련 API 호출 빈도/패턴 감시

3) 행위·네트워크 룰

• 짧은 주기의 주기 통신(Beaconing), 암호화된 소량 POST 반복 등 C2 힌트 패턴 탐지
• 정상 도메인(CDN/클라우드) 로 가는 트래픽이라도 이상 URL 경로·User-Agent/헤더 패턴 모니터링
• 스케줄러 등록(작업 이름이 그럴듯한 경우: GoogleUpdate, Healthcare 등) 탐지 규칙

4) 하드닝·권한 최소화

• PowerShell: Constrained Language Mode, 스크립트 서명 강제, 고위험 모듈 차단
• 앱 제어: WDAC/AppLocker로 허용 목록 기반 실행 정책
• LSA 보호, UAC 강제, 관리자 권한 실행 최소화, 로컬 관리자 제거

5) 인시던트 대응(IR) 플레이북

• 초기 의심 첨부 식별 → 샌드박스·메모리 덤프 수집 → 네트워크 격리(Host 단위)
• 스케줄러, 런키, 서비스 등록, WMI 영속성 점검
• 자격정보(SSO·토큰) 강제 재발급, 특히 브라우저 저장 크리덴셜·SSO 세션 무효화
• 동일 캠페인 지표(뮤텍스 이름·타임스탬프·공통 해시/아이콘 리소스 등)로 수평 확산 스윕

6) 사용자 교육·프로세스

• ‘문서처럼 보이는 실행 파일’ (.scr, .lnk 등) 금지 교육
• 세금계산서·인사·정부문서 등 권위형 미끼에 대한 소셜엔지니어링 경계 교육
• 의심 파일은 보안팀 사전 검수 경로(샌드박스 제출) 로만 열도록 업무 프로세스화

---

“공격자는 늘 앞서간다?” — 꼭 그렇지만은 않다 💡

연구자들이 흥미롭게 지적한 부분이 있어요.
Kimsuky·Lazarus 같은 국가배후 APT도 항상 새로운 기능 개발에 올인하지는 않는다는 점입니다.
오히려 안정성과 운영 단순성을 중시해, 핵심 기능은 천천히 바꾸고 주변 전술만 개선하는 경향이 있다는 것.
이번 HttpTroy도 그 맥락에서 보면, 새로운 기능 잔뜩이 아니라 기존 장점을 더 은밀하고 안정적으로 다듬은 사례로 읽힙니다.

이는 방어자에게도 기회예요.
행위 기반의 기본 원칙(메모리 가시성, 영속성 지표 탐지, 이상 트래픽 패턴 분석, 스크립트/매크로 정책)을 조직적으로 잘 굴리면,
매번 “완전히 새로운 괴물”을 상대하지 않아도 됩니다.

기본기가 결국 승부를 가릅니다. 🛡️

---

정리: HttpTroy는 ‘조용하지만 치명적’ — 우리가 해야 할 일은 명확하다

• 조용함: PDF 미끼로 방심 유도 → 메모리에서 조용히 실행
• 치명성: 파일·스크린샷·명령 실행 등 풀스펙 제어 + 암호화 통신
• 지속성: 로더/백도어의 모듈식 구조로 상황 맞춤 기능 추가 용이
• 현실성: 정상 서비스·정상 프로세스에 숨어, 방어의 사각을 찌름

👉 대응의 열쇠는 메모리 관측(EDR), 실행 정책(AppLocker/WDAC), 스크립트 하드닝(PowerShell/매크로),
영속성 지표(작업 스케줄러·Run 키) 상시 헌팅, 그리고 사용자 교육입니다.
정교한 공격일수록, 기본이 탄탄한 보안 운영이 빛을 발합니다.