본 문서는 최근 Kimsuky 그룹에서 사용하는 악성코드들에 대한 분석 보고서이다. Kimsuky 그룹은 주로 스피어피싱과 같은 사회공학적 공격 방식을 이용하는데, 첨부 파일들의 이름으로 추정했을 때 공격 대상들은 주로 북한 및 외교 관련 업무를 수행하는 사용자들로 보인다. 자사 ASD 인프라의 감염 로그를 보면 공격 대상은 일반적인 기업들보다는 개인 사용자들이 다수인 것으로 확인되지만, 공공기관이나 기업들 또한 지속적으로 공격 대상이 되고 있다. 대표적으로 국내 대학교들이 주요 공격 대상이며 이외에도 IT 및 정보 통신 업체, 건설 업체에서도 공격 이력을 확인할 수 있었다.
일반적으로 스피어피싱 공격 메일의 첨부 파일로 추정되는 악성코드들은 문서 파일로 위장하고 있으며 사용자가 해당 파일을 실행할 경우 실제 위장 파일 이름에 상응하는 문서를 실행하여 사용자로 하여금 일반적인 문서 파일을 실행한 것으로 인지시킨다. 하지만 동시에 추가 악성코드들을 설치하는데, 여기에는 대표적으로 AppleSeed와 PebbleDash가 있다. AppleSeed는 2019년경부터 확인된 악성코드로서 여기에서 정리하는 IOC들을 기준으로 다른 악성코드들과 비교했을때 대부분을 차지하고 있을 정도로 다수의 공격에 사용되고 있다. PebbleDash는 NukeSped 변종 악성코드들 중 하나로서 과거부터 Lazarus 그룹이 사용하는 악성코드로 알려져 있지만 최근에는 새로운 변종이 AppleSeed와 함께 공격에 사용되고 있는 정황이 확인되었다.
AppleSeed와 PebbleDash는 Kimsuky 그룹이 사용하는 백도어 악성코드로서 시스템에 상주하면서 공격자의 명령을 받아 악성 행위를 수행할 수 있다. 공격자는 백도어 악성코드들을 이용해 미터프리터나 HVNC와 같은 또 다른 원격 제어 악성코드나 권한 상승, 계정 정보 탈취 등을 위한 다양한 악성코드들을 추가적으로 설치한다.
본 문서에서는 차례대로 최초 유포 악성코드들부터 시작하여 AppleSeed 및 PebbleDash를 이용한 공격들에 대한 전체적인 흐름을 분석한다. AppleSeed와 PebbleDash의 경우 한가지 형태만 존재하는 것이 아니기 때문에 각각의 유형들을 비교하여 공통점과 차이점을 위주로 정리하며, 이러한 악성코드들에 의해 추가적으로 설치된 다양한 악성코드들까지 각 단계별로 상세하게 정리한다.
____
____
목차
개요
1. 유포 방식
…. 1.1. 스크립트
…. 1.2. 실행 파일 (pif)
…….. 1.2.1. Thread #1
…….. 1.2.2. Thread #2
…….. 1.2.3. Thread #3
…….. 1.2.4. Thread #4
…. 1.3. 추가 스크립트
…….. 1.3.1. 1차 스크립트
…….. 1.3.2. 2차 스크립트
2. Downloader 악성코드 분석
…. 2.1. Downloader
…….. 2.1.1. 설치 과정
…….. 2.1.2. 다운로더 행위
3. AppleSeed 분석
…. 3.1. 기본 기능 분석
…….. 3.1.1. 초기 루틴
…….. 3.1.2. 설치
…….. 3.1.3. 권한 상승
…….. 3.1.4. 스레드
…. 3.2. 정보 탈취 기능 분석
…….. 3.2.1. 정보 탈취
…….. 3.2.2. 추가 명령
…. 3.3. 이메일을 이용하는 C&C 통신
…….. 3.2.1. Ping 스레드 (SMTP)
…….. 3.2.2. Command 스레드 (IMAP)
4. PebbleDash 분석
…. 4.1. 초기 PebbleDash 분석
…….. 4.1.1. 초기 루틴
…….. 4.1.2. 설정 데이터 복구
…….. 4.1.3. C&C 통신
…….. 4.1.4. 명령 수행
…. 4.2. 최신 PebbleDash 분석
…….. 4.2.1. 초기 루틴
…….. 4.2.2. 설정 데이터 복구
…….. 4.2.3. C&C 통신
…….. 4.2.4. 명령 수행
5. 감염 이후
…. 5.1. 원격 제어
…….. 5.1.1. Meterpreter
…….. 5.1.2. HVNC (TinyNuke)
…….. 5.1.3. TightVNC
…….. 5.1.4. RDP Wrapper
…. 5.2. RDP 관련
…….. 5.2.1. RDP 사용자 추가
…….. 5.2.2. RDP Patcher
…. 5.3. 권한 상승
…….. 5.3.1. UACMe
…….. 5.3.2. CVE-2021-1675 취약점
…. 5.4. 정보 수집
…….. 5.4.1. Mimikatz
…….. 5.4.2. 크롬 계정 정보 수집
…….. 5.4.3. 키로거
…. 5.5. 기타
…….. 5.5.1. Proxy 악성코드
안랩 대응 현황
결론
IOC (Indicators Of Compromise)
파일 경로 및 이름
파일 Hashes (MD5)
관련 도메인, URL 및 IP 주소
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보
[…] Kimsuky 그룹에서 TinyNuke 악성코드를 사용하고 있다.[8] Kimsuky 그룹에서 사용하는 TinyNuke는 기존의 다양한 기능들 중에서 HVNC (Hidden […]
[…] 윈도우에 기본적으로 설치되어 있는 원격 데스크톱 기능 외에도 공격자가 RDP Wrapper를 설치해 사용하는 경우도 존재한다. RDP Wrapper는 원격 데스크탑 기능을 지원하는 오픈 소스 유틸리티이다. 윈도우 운영체제는 모든 버전에서 원격 데스크탑을 지원하지 않기 때문에 이러한 환경에서는 RDP Wrapper를 설치하여 원격 데스크탑을 활성화할 수 있다. Kimsuky 그룹은 AppleSeed 악성코드가 감염된 다수의 시스템에 RDP Wrapper를 설치하고 있다.[6] […]
[…] 최초 유포 방식은 확인되지 않지만 다음과 같은 자사 AhnLab Smart Defense (ASD) 로그를 통해 Kimsuky 공격 그룹은 WSF나 JS와 같은 스크립트 악성코드를 공격에 사용한 것으로 추정된다. 해당 로그는 과거 사례에서도 드로퍼 기능을 담당하는 스크립트 악성코드가 파워쉘 명령을 이용해 파일을 디코딩하는 과정에서 사용되었다. [4] […]