Larva-25004 (Kimsuky 연관) 그룹의 추가 인증서 악용 사례 – Nexaweb 인증서로 서명된 악성코드
ASEC(AhnLab SEcurity intelligence Center)은 한국 업체의 인증서로 서명된 악성코드와 동일한 특징을 가진 파일을 조사해 Nexaweb Inc. 인증서로 서명된 악성코드를 발견했다.이들 악성코드는 다른 보안업체에서 Kimsuky 그룹의 활동으로 보고했었다. 안랩은 이들을 Larva-25004로 명명하고 추적 중이다. Nextweb 인증서 서명 악성코드 발견된 파일은 2개로 MD5 해시 정보는 다음과 같다. Job
APT그룹 추적 보고서 – Larva-24005
1) 소개 안랩 ASEC(AhnLab SEcurity intelligence Center)은 침해 사고 조사 과정에서 Kimsuky 그룹과 연관된 새로운 오퍼레이션을 발견하고 Larva-24005로 명명했다.[1] 이들은 RDP 취약점으로 최초 침투 후 MySpy 악성코드로 시스템 설정을 변경하고, RDPWrap을 설치해 지속적인 원격 접근 환경을 만들었다. 또, 사용자의 키보드 입력을 저장하는 키로거를 감염시켰다. 포렌식 분석을
일본을 노리는 Larva-24005 그룹의 피싱 메일 공격 사례
ASEC(AhnLab SEcurity intelligence Center)은 Larva-24005가 국내에서 운영되고 있는 서버를 침해한 뒤, 피싱 메일 발송을 위한 웹 서버, 데이터베이스, PHP 환경을 구축하는 행위를 확인했다. Larva-24005는 공격 거점을 이용해 국내 뿐만 아니라 일본도 공격 대상으로 삼고 있는 것으로 확인됐다. 주요 공격 대상은 대북 관련 종사자와 북한 체제와 관련된 연구를 하는 대학
2025년 1월 APT 그룹 동향 보고서
2025년 1월 보안 업체와 기관에서 공개된 분석 내용을 종합한 주요 APT 그룹의 사례는 다음과 같다. 1) Andariel Andariel 그룹은 RID Hijacking 기법을 활용하여 계정 권한을 상승시키고 숨김 계정을 생성하는 공격을 수행했다.[1] RID Hijacking은 SAM(Security Account Manager) 데이터베이스를 조작해 낮은 권한의 계정 RID 값을 관리자 계정의 RID 값으로 변조하는
2024년 MSC 악성코드 동향 보고서
MSOffice 문서형 악성코드의 유포가 줄어들면서 LNK, CHM 등 다양한 포맷의 악성코드가 대두되고 있다. 올해 2분기에는 Microsoft Management Console(MMC)에서 사용하는 MSC(snap-ins/Management Saved Console) 파일 포맷의 악성코드가 새로 확인되었다. MSC 파일은 XML 기반의 포맷으로, 스크립트 코드 및 커맨드 명령 실행 또는 프로그램 실행 등 다양한 작업을 등록하여 실행할 수 있다. 자사에서 확인된
2024년 10월 APT 그룹 동향 보고서
2024년 10월 보안 업체와 기관에서 공개된 분석 내용을 종합한 주요 APT 그룹의 사례는 다음과 같다. 1) Andariel Symantec Threat Hunter 팀은 Andariel 그룹이 미국 내 기업들을 대상으로 금전적 동기를 가진공격을 수행하고 있다는 증거를 발견했다.[1] 이 그룹은 2024년 7월 미국 법무부의 기소 이후에도 공격을 이어가고 있으며, 8월에는
PebbleDash와 RDP Wrapper를 악용한 Kimsuky 그룹의 최신 공격 사례 분석
개요 AhnLab SEcurity intelligence Center(ASEC)은 Kimsuky 그룹이 최근 다수의 공격 사례에서 PebbleDash와 RDP Wrapper를 사용하는 정황을 확인하였다. 일반적으로 Kimsuky 그룹의 공격 대상은 방위산업, 언론, 외교, 국가기관, 학술 등 다양한 분야를 대상으로 하며 조직의 내부 정보 및 기술 탈취를 목적으로 한다. 그리고 최초 침투를 위해 스피어 피싱 공격을 주로 사용한다. 과거에는 문서형
2024년 9월 APT 그룹 동향 보고서
2024년 9월 보안 업체와 기관에서 공개된 분석 내용을 종합한 주요 APT 그룹의 사례는 다음과 같다. 1) APT41 Fortinet은 APT41 그룹이 오픈 소스 지리 정보 서버인 GeoServer 취약점 (CVE-2024-36401)을 이용해 공격을 수행하고 있다고 발표했다.[1] CVE-2024-36401 취약점은 여러 OGC 요청 파라미터를 통해 XPath 표현식을 안전하게 평가하지 않아 발생하며, 공격자가
강연의뢰서로 위장한 Kimsuky 그룹 악성코드(MSC, HWP)
최근 특정 사용자를 대상으로 하는 강연 의뢰서를 위장한 악성코드가 확인되었다. 유포 파일로는 한글 문서(HWP) 파일과 MSC 확장자 형식의 파일이 확인되었으며, 추가 악성 파일을 다운로드한다. 정상 문서로 위장하기 위한 디코이 문서 파일에는 개인 정보가 작성되어 있는 경우도 확인되어 특정 사용자를 대상으로 악성코드를 유포하는 것으로 보인다. 최종적으로 실행되는 악성 행위는 확인되지
러시아와 북한 파트너쉽에 관한 논문을 위장한 APT 공격 (Kimsuky)
ASEC(AhnLab SEcurity intelligence Center)에서는 최근 국내 사용자를 타겟으로 한 APT 공격 정황을 확인하였다. 해당 공격 과정에서 공격자는 Github 리퍼지토리를 이용하였으며, 해당 리퍼지토리에는 공격에 사용되는 다수의 악성 스크립트와 정상 미끼 파일이 업로드 되어 있다. 그림 1. 공격자의 Github 리퍼지토리 업로드 된 다수의 악성 스크립트를 통해 악성 행위가 수행되며, 최종적으로
