RDP를 침투 경로로 사용하는 랜섬웨어 공격 사례들 – EDR 탐지 Posted By Sanseo , 2023년 11월 27일 원격 데스크톱 서비스(Remote Desktop Services)는 다른 PC를 원격으로 제어할 수 있는 기능을 뜻하며 윈도우 운영체제에서는 RDP(Remote Desktop Protocol)를 이용해 이러한 서비스를 기본적으로 제공한다. 이에 따라 제어 대상 시스템이 윈도우를 사용한다면 추가적인 원격 제어 도구들을 설치하는 과정 없이 RDP를 이용해 원격 대상에 대한 제어가 가능하다. 원격 제어를 위해서는 대상 시스템에 대한 자격 증명 정보를 알아야 하며 이를 이용해 로그온 하는 과정이 필요하다. 이에 따라 RDP가 활성화되어 있는 시스템이 외부에 공개되어 있을 경우 공격자들은 브루트 포싱 공격(또는 사전 공격)을 수행해 자격 증명…
RDP를 이용해 감염 시스템을 제어하는 Kimsuky 위협 그룹 Posted By Sanseo , 2023년 10월 16일 북한의 지원을 받고 있다고 알려진 Kimsuky 위협 그룹은 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행하였으며 2014년 한국의 에너지 기관에 대한 공격을 그리고 2017년 이후에는 한국 외 다른 나라에 대한 공격도 확인되고 있다. [1] 주로 스피어 피싱 공격을 통해 국방, 방위산업, 언론, 외교, 국가기관, 학술 분야를 공격 중이며 조직의 내부 정보 및 기술 탈취를 목적으로 한다. [2] Kimsuky 위협 그룹이 초기 침투 이후 설치하는 악성코드들로는 주로 감염 시스템을 제어하기 위한 백도어나 감염 시스템에 존재하는 민감한 정보들을…
