1)   소개

 

안랩 ASEC(AhnLab SEcurity intelligence Center)은 침해 사고 조사 과정에서 Kimsuky 그룹과 연관된 새로운 오퍼레이션을 발견하고 Larva-24005로 명명했다.[1] 이들은 RDP 취약점으로 최초 침투 후 MySpy 악성코드로 시스템 설정을 변경하고, RDPWrap을 설치해 지속적인 원격 접근 환경을 만들었다. 또, 사용자의 키보드 입력을 저장하는 키로거를 감염시켰다.

 

포렌식 분석을 통해 확인된 위협 정보는 ATIP을 통해 ‘Kimsuky 공격 그룹의 BlueKeep 취약점을 이용한 국내 시스템 침투 및 정보 유출 사례’[2]와 ‘국내 서버를 상위 C2로 활용한 Larva-24005 공격 그룹의 공격 인프라 구축 사례’[3]로 공개됐다.

 

2)   공격 대상 및 사례

 

이들은 2023년 10월부터 한국의 소프트웨어, 에너지, 금융 분야를 공격했으며, 한국, 일본 등에 피싱 메일을 보냈다. 공격에 사용된 인프라 분석을 통해 이들은 2023년 9월부터 한국, 미국, 중국, 일본, 독일, 싱가포르를 중심으로 남아프리카공화국, 네덜란드, 멕시코, 베트남, 벨기에, 영국, 캐나다, 태국, 폴란드 등의 국가를 공격한 사실도 확인되었다.

 

3)   공격 방법

 

 

 

일부 시스템에서는 RDP 취약점 (BlueKeep, CVE-2019-0708)을 통해 초기 침투가 확인되었다. 침해된 시스템에서 RDP 취약점 스캐너가 발견되었지만, 실제 공격에 활용된 이력은 확인되지 않았다. 유사한 악성코드의 이메일 첨부 파일, MS 오피스 수식 편집기 취약점(CVE-2017-11882)를 악용한 배포[1]도 확인되어 다양한 방법으로 유포되었을 가능성이 높다.

 

침투 후 드롭퍼가 MySpy 악성코드와 RDPWrap를 설치하고, RDP 접근이 가능하도록 시스템 설정을 변경했다.

 

최종 단계에서 KimaLogger나 RandomQuery 키로거를 감염시켜 사용자가 입력하는 키 내용을 수집한다.

 

공격에 이용된 일부 시스템에서 한국, 일본 등을 대상으로 한 피싱 메일 발송 이력이 확인되었다.  

 

Larva-24005의 다이아몬드 모델은 다음과 같다.

 

항목	설명
Adversary	Larva-24005
Vulnerability	BlueKeep (CVE-2019-0708)
Techniques	스피어피싱 이메일, RDP 접근
Victim	한국 소프트웨어 업체, 에너지, 금융
Malware and Tools	RDP Wrap, MySpy
Infrastructure	r-e.kr, kro.kr 도메인 이용

표 1. 다이아몬드 모델

 

 

주요 악성코드와 도구

 

이 위협 그룹에서 사용한 주요 악성코드는 다음과 같다. 단계는 실제 운영 단계가 아닌 이론적 개념을 기반으로 분류되어 실제 공격과 다소 차이가 있을 수 있다.

 

이름	내용
RDPScanner A 형	CLI (Command-Line Interface) RDP 취약점 스캐너
RDPScanner B 형	GUI (Graphic User Interface) RDP 취약점 스캐너
Downloader	다운로더
Dropper	드롭퍼. RDPWrap 및 MySpy 악성코드 생성
RDPWrap	원격 제어
MySpy	시스템 정보 수집 추정
RDPEnabler	시스템 내 RDP 관련 설정 변경
RDPLoader	RDPWrap 로더
KimaLogger	키로거
RandomQuery	키로거

표 2. 주요 악성코드와 도구

 

1)               초기 침투

 

초기 침투를 위한 RDP 취약점 스캐닝 도구가 다수 발견되었다. 실제 공격에 이용된 경우도 있었지만 대부분 감염된 시스템에 보관만 하고 있고 실제 사용된 흔적은 확인되지 않았다.

 

(1)  RDPScanner CLI형

 

RDP(CVE-2019-0708) 취약점 스캐닝 도구로 공격당한 시스템에서 발견되었지만, 이 도구를 이용해 최초 침입했는지는 확인되지 않았다. 실행을 위해서는 Atk.txt, Sea.txt 파일이 필요하지만, 확보하지 못했다.

 

(2)  RDPScanner GUI형

 

RDP 취약점 (CVE-2019-0708) 스캐닝 도구로 UI(User Interface) 형태이며, 텍스트 파일에서 IP 목록을 읽고 스캐닝을 수행한다. 스캔 결과는 도구 실행 경로의 RDP_result.txt 파일에 저장된다.

 

2019년에서 2024년까지 제작된 변형은 다음과 같다.

 

 

 

---

[1] https://asec.ahnlab.com/ko/73916/

 

 

---

[1] https://atip.ahnlab.com/intelligence/view?id=4464854f-8bb1-443f-b93a-971cb94451f4

[2] https://atip.ahnlab.com/intelligence/view?id=cce9edd9-911b-49da-8726-b46b9d5a9cb2

[3] https://atip.ahnlab.com/intelligence/view?id=4464854f-8bb1-443f-b93a-971cb94451f4

 

 

MD5

1177fecd07e3ad608c745c81225e4544

14caab369a364f4dd5f58a7bbca34da6

184a4f3f00ca40d10790270a20019bb4

30bcac6815ba2375bef3daf22ff28698

46cd19c3dac997bfa1a90028a28b5045

URL

http[:]//star7[.]kro[.]kr/login/help/show[.]php?_Dom=991

http[:]//star7[.]kro[.]kr/login/img/show[.]php?uDt=177

http[:]//www[.]sign[.]in[.]mogovernts[.]kro[.]kr/rebin/include[.]php?_sys=7

FQDN

access-apollo-page[.]r-e[.]kr

access-apollo-star7[.]kro[.]kr

access-mogovernts[.]kro[.]kr

apollo-page[.]r-e[.]kr

apollo-star7[.]kro[.]kr