Larva-24009 공격자의 스피어 피싱 공격 사례 보고서
ASEC(AhnLab SEcurity intelligence Center)은 최근 Larva-24009 공격자가 국내 사용자들을 대상으로 스피어 피싱 공격을 수행 중인 것을 확인하였다. Larva-24009 공격자는 적어도 2023년 경부터 활동이 시작되고 있으며 주로 해외 사용자들을 대상으로 스피어 피싱 공격을 사용해 왔다. 하지만 최근에는 국내 사용자들을 대상으로도 감염 사례가 확인되는 것이 확인되었다.
공격자에 대한 정보는 알려져 있지 않으며 현재까지 알려진 공격 사례들을 보면 블록체인이나 음악 및 의료 업계가 확인되는 등 아직까지는 구체적인 공격 대상들에 대한 정보도 많지 않다.
Larva-24009 공격자는 LNK 악성코드를 활용한 스피어 피싱 공격을 시작으로 최종적으로 정보 탈취 및 원격 제어 목적의 악성코드들을 설치한다. 또한 지속성 유지 및 감염 시스템 제어를 위해 자체 제작한 파워쉘 악성코드들을 활용하는 것이 특징이다.
공격자는 최초 침투 과정에서 스피어 피싱 공격을 사용하는 것으로 보인다. 메일 첨부 파일에는 다음과 같이 그림 또는 문서 파일과 악성 LNK 파일이 함께 존재한다. 사용자는 문서 파일을 확인하는 과정에서 LNK를 실행하게 되며 이에 따라 악성 파워쉘 명령이 실행된다.
Figure 1. 압축 파일에 포함된 위장 문서 및 그림 파일과 LNK 악성코드
Larva-24009 공격자의 특징은 다양한 파워쉘 스크립트를 제작해 사용한다는 점이다. 파워쉘은 몇 단계에 거쳐 차례대로 실행되며 추가 페이로드를 다운로드하거나 다운로드한 명령을 실행하는 기능들이 대부분이다.
공격자는 이후 상용 도구들을 활용해 감염 시스템을 제어하기도 하였는데, 과거에는 njRAT을 사용하였으며 최근에는 QuasarRAT을 활용하고 있다. 국내 대상 공격에서는 UltraVNC 서버를 설치하는 사례가 확인되기도 하였다.
Figure 2. 감염 시스템에 설치된 UltraVNC 서버
