안랩은 2022년 04월 29일 금요일 퇴근 무렵 “북한 4.25 열병식 관련 내용의 악성 워드 문서 유포”라는 제목의 분석 정보를 ASEC블로그에 공개한 적이 있습니다.
[+] 열병식 내용으로 위장한 악성코드 분석 정보: https://asec.ahnlab.com/ko/33878
본 보고서는 위 분석 정보에 설명된 주요 특징(C2, 웹쉘 등)과 유사한 패턴을 가진 Kimsuky 조직의 해킹 활동(C2 운영, 관리, 해킹 메일 발송, 악성코드 유포 등)에 대해서 약 17개월 동안 추적하고 분석한 내용을 바탕으로 Kimsuky 조직의 해킹 활동이 북한, 정치, 외교, 안보 분야에 종사하는 특정인이나 조직을 대상으로 피싱, 악성코드를 첨부한 해킹 메일 발송으로 메일 계정 및 중요한 자료 탈취가 목적이며, 목적을 달성하기 위해서 은밀하고 집요하게 해킹했다는 점에서 이번 작전을 “Operation Covert Stalker”로 명명했습니다. 그리고 Kimsuky 조직의 소행으로 판단한 근거에 대해서도 설명했습니다.
[+] 보고서 요약
– 북한, 정치, 외교, 안보 분야에 종사하는 특정인이나 조직에게 정상 URL로 위장한 피싱 또는 악성코드를 첨부한 해킹 메일 발송.
– Windows 시스템은 RDP 취약점(CVE-2019-0708), 취약한 사이트는 미상의 취약점을 악용하여 해킹.
– 연결의 지속성 확보를 위해서 RDP 접속용 계정 생성, RDP Wrapper, Quasar RAT, Ammy RAT, AnyDesk, TeamViewer 등 원격 관리 프로그램 추가 설치.
– 해킹 대상 검색, 해킹 메일 발송, RDP 취약점(CVE-2019-0708) 스캐닝, 악성코드 테스트 등 다양한 악성 행위 수행.
– BlackBit 랜섬웨어를 감염시킨 후 복구 비용 지불 유도.
– 웹쉘(Green Dinosaur, WebadminPHP, 미상 등)을 통해서 C2구축, 관리, 운영.
– 일부 악성코드에서 “련동”, “봉사기”, “대면부” 등 북한식 표현 존재
[+] 보고서 다운로드: 20231101_Kimsuky_OP. Covert Stalker
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능합니다.
Categories:악성코드 정보