Kimsuky 그룹의 APT 공격 분석 보고서 (AppleSeed, PebbleDash)

본 문서는 최근 Kimsuky 그룹에서 사용하는 악성코드들에 대한 분석 보고서이다. Kimsuky 그룹은 주로 스피어피싱과 같은 사회공학적 공격 방식을 이용하는데, 첨부 파일들의 이름으로 추정했을 때 공격 대상들은 주로 북한 및 외교 관련 업무를 수행하는 사용자들로 보인다. 자사 ASD 인프라의 감염 로그를 보면 공격 대상은 일반적인 기업들보다는 개인 사용자들이 다수인 것으로 확인되지만, 공공기관이나 기업들 또한 지속적으로 공격 대상이 되고 있다. 대표적으로 국내 대학교들이 주요 공격 대상이며 이외에도 IT 및 정보 통신 업체, 건설 업체에서도 공격 이력을 확인할 수 있었다. 일반적으로 스피어피싱 공격…

KIMSUKY 조직의 Operation Light Shell

1. 개요 KIMSUKY 조직은 국가를 배경으로 둔 해킹 조직으로 외교, 안보, 정치, 언론, 의료, 방산, 교육, 암호 화폐 등 다양한 분야를 대상으로 금전적인 이득, 파일 탈취를 위해 해킹을 수행하고 있으며, 이를 위해서 악성코드를 제작한 후 유포했다. 본 보고서는 KIMSUKY 조직이 제작한 후 유포한 악성코드 중 악성코드의 패턴과 특징을 근거로 그룹화가 가능한 악성코드와 C2에 대해서 기술적인 분석 내용을 설명했다. 2. Operation Light Shell 악성코드가 통신하는 C2에는 아래 그림처럼 light-shell 파일이 항상 존재했으며, 해당 파일은 아래 예시의 데이터를 저장하고 있다. 예시) [2021-04-07…

ASEC 주간 악성코드 통계 ( 20211101 ~ 20211107 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 11월 01일 월요일부터 2021년 11월 07일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 51.8%로 1위를 차지하였으며, 그 다음으로는 다운로더가 22.7%, RAT (Remote Administration Tool) 악성코드가 19.6%, 백도어 악성코드가 2.7%, CoinMiner가 1.6% 로 집계되었다. Top 1 –  BeamWinHTTP 22.4%로 지난주에 이어 1위를 차지한 BeamWinHTTP는 다운로더 악성코드이다. PUP 설치 프로그램으로 위장한 악성코드를 통해 유포되는데, BeamWinHTTP가 실행되면 PUP 악성코드인 Garbage Cleaner를 설치하고,…

Lazarus 그룹의 NukeSped 악성코드 분석 보고서

안랩 시큐리티대응센터(ASEC)은 2020년경부터 최근까지 확인되고 있는 Lazarus 그룹의 공격들에 대해 분석 보고서를 공개한다. 여기에서 다루는 악성코드는 NukeSped로 알려져 있으며 공격자의 명령을 받아 다양한 악성 행위를 수행할 수 있는 백도어 악성코드이다. 본 문서에서는 NukeSped를 이용한 공격들에 대한 전체적인 흐름을 분석한다. 차례대로 확인된 유포 방식부터 시작하여 NukeSped의 기능들을 분석하고, 공격자로부터 전달받은 명령이나 추가적으로 설치한 악성코드들까지 각 단계별로 상세하게 정리한다. ____ ____ 목차개요1. 최초 침투 방식…. 1.1. 메일 첨부 문서 파일을 통한 유포 사례…. 1.2. 워터링홀 공격을 통한 유포 사례2. 다운로더…. 2.1. 다운로더…

매크로 시트를 이용한 악성 엑셀 국내 유포 중 (2)

ASEC 분석팀은 매크로 시트(Excel 4.0 Macro)를 이용한 악성 엑셀 문서가 피싱 메일을 통해 국내에 다수 유포 중인 정황을 확인하였다. 매크로 시트를 이용한 방식은 악성코드 유포자가 자주 사용하는 방식으로, SquirrelWaffle / Qakbot 을 비롯한 다양한 악성코드 유포에도 사용된 이력이 존재한다. 매크로 시트를 활용한 악성코드에 대해서는 위와 같이 본 블로그에 여러 차례에 걸쳐 소개한 바 있다. 이번에 소개하려는 형태도 유포 방식이 크게 다르지 않으나 유사한 형식의 파일명으로 다량 유포하는 정확이 확인되어 사용자들의 주의가 요구된다. 대부분의 파일명은 biz-106093825.xls / recital-1105217019.xls / miss-1360738092.xls 와…