1. 개요
KIMSUKY 조직은 국가를 배경으로 둔 해킹 조직으로 외교, 안보, 정치, 언론, 의료, 방산, 교육, 암호 화폐 등 다양한 분야를 대상으로 금전적인 이득, 파일 탈취를 위해 해킹을 수행하고 있으며, 이를 위해서 악성코드를 제작한 후 유포했다.
본 보고서는 KIMSUKY 조직이 제작한 후 유포한 악성코드 중 악성코드의 패턴과 특징을 근거로 그룹화가 가능한 악성코드와 C2에 대해서 기술적인 분석 내용을 설명했다.
2. Operation Light Shell
악성코드가 통신하는 C2에는 아래 그림처럼 light-shell 파일이 항상 존재했으며, 해당 파일은 아래 예시의 데이터를 저장하고 있다.
- 예시) [2021-04-07 12:55:57] <49.***.27.***> This is Light’s SHELL signature file.
C2에 존재하는 light-shell과 해당 파일에 저장된 데이터를 근거로 본 보고서의 제목을 Operation Light Shell로 명명했다. 참고로 light-shell에 저장된 데이터 중 붉은색으로 표시된 IP는 KIMSUKY 조직이 사용한 IP로써 판단 근거는 “4. C2 분석”에서 설명했다. (아래 그림 참고)
Operation Light Shell 보고서는 아래 URL에서 다운로드 가능하다.
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보