APT그룹 추적 보고서 – Larva-24005
1) 소개 안랩 ASEC(AhnLab SEcurity intelligence Center)은 침해 사고 조사 과정에서 Kimsuky 그룹과 연관된 새로운 오퍼레이션을 발견하고 Larva-24005로 명명했다.[1] 이들은 RDP 취약점으로 최초 침투 후 MySpy 악성코드로 시스템 설정을 변경하고, RDPWrap을 설치해 지속적인 원격 접근 환경을 만들었다. 또, 사용자의 키보드 입력을 저장하는 키로거를 감염시켰다. 포렌식 분석을
AhnLab EDR을 활용한 BlueKeep 공격 탐지
BlueKeep(CVE-2019-0708)은 2019년 5월에 공개된 취약점으로, 클라이언트와 서버 간의 RDP(Remote Desktop Protocol) 연결 과정에서 발생한다. 클라이언트가 특정 채널(MS_T120)로 악의적인 패킷을 전송하면, Use-After-Free 취약점이 발생하여 원격 코드 실행이 가능해진다.[1] 이 취약점은 최근까지도 ASEC 블로그에서도 다뤄졌으며[2], APT 그룹이 이를 활용하고 있다. 여기에서는 최근 AhnLab EDR(Endpoint Detection and Response)에서 탐지된 BlueKeep 취약점에 대해 설명한다.
