국내 공공기관의 설치 파일을 위장한 악성코드 (Kimsuky 그룹) Posted By Sanseo , 2024년 3월 19일 AhnLab SEcurity intelligence Center(ASEC)에서는 최근 Kimsuky 그룹이 악성코드를 국내 공공기관의 인스톨러로 위장하여 유포한 사실을 확인하였다. 해당 악성코드는 드로퍼(Dropper)로서 과거 “보안 프로그램 설치 과정에서 감염되는 TrollAgent (Kimsuky 그룹)” [1] 게시글에서 다룬 공격에서 사용된 백도어 악성코드인 Endoor를 생성한다. 비록 드로퍼 악성코드가 실제 공격에 사용된 이력은 확인되지 않지만 해당 드로퍼가 생성하는 백도어 악성코드의 공격 사례는 드로퍼 악성코드의 수집일과 유사한 시점에 확인되었다. 공격자는 백도어를 이용해 추가 악성코드를 다운로드하거나 스크린샷을 탈취하는 악성코드를 설치하기도 하였다. Endoor는 이외에도 지속적으로 공격에 사용되고 있는데 과거부터 스피어피싱 공격으로 유포되는 Nikidoor와…
보안 프로그램 설치 과정에서 감염되는 TrollAgent (Kimsuky 그룹) Posted By ASEC , 2024년 2월 16일 ASEC(AhnLab SEcurity intelligence Center)에서는 최근 국내 건설 관련 협회의 홈페이지 상에서 보안 프로그램 설치 시도 시, 악성코드가 다운로드 되고 있다는 정황을 확인하였다. 해당 홈페이지에서 제공하는 서비스를 사용하기 위해서는 로그인이 필요하며 보안을 위해 다양한 보안 프로그램들을 설치해야 로그인을 진행할 수 있다. 로그인을 위해 설치하도록 유도되는 프로그램들 중 악성코드가 포함된 설치 프로그램이 존재하였으며 만약 사용자가 이를 다운로드해 설치할 경우 보안 프로그램뿐만 아니라 악성코드도 함께 설치된다. 이러한 과정을 통해 설치되는 악성코드는 외부에서 공격자의 명령을 전달받아 악의적인 행위를 수행할 수 있는 백도어 악성코드와 감염…
AhnLab EDR을 활용한 Kimsuky 그룹의 스피어 피싱 공격 탐지 (AppleSeed, AlphaSeed) Posted By Sanseo , 2024년 2월 8일 북한의 지원을 받고 있다고 알려진 Kimsuky 위협 그룹은 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행하였으며 2014년 한국의 에너지 기관에 대한 공격이 그리고 2017년 이후에는 한국 외 다른 나라에 대한 공격도 확인되고 있다. [1] 주로 스피어 피싱 공격을 통해 국방, 방위산업, 언론, 외교, 국가기관, 학술 분야를 공격 중이며 조직의 내부 정보 및 기술 탈취를 목적으로 한다. [2] Kimsuky 그룹은 공격에 따라 다양한 악성코드들을 사용하는데 대표적으로 AppleSeed와 AlphaSeed 악성코드를 설치하는 사례가 있다. 이러한 공격은 수년 전부터 지속되고…
AutoIt을 사용해 악성코드를 제작하는 Kimsuky 그룹 (RftRAT, Amadey) Posted By Sanseo , 2023년 12월 1일 개요초기 침투 방식…. 2.1. 스피어 피싱 공격…. 2.2. LNK 악성코드원격 제어 악성코드…. 3.1. XRat (Loader)…. 3.2. Amadey…. 3.3. 최신 공격 사례…….. 3.3.1. AutoIt Amadey…….. 3.3.2. RftRAT감염 이후…. 4.1. 키로거…. 4.2. 인포스틸러…. 4.3. 기타 유형들결론 1. 개요 북한의 지원을 받고 있다고 알려진 Kimsuky 위협 그룹은 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행하였으며 2014년 한국의 에너지 기관에 대한 공격이 그리고 2017년 이후에는 한국 외 다른 나라에 대한 공격도 확인되고 있다. [1] 주로 스피어 피싱 공격을 통해 국방,…
수입 신고서를 위장하여 국내 연구 기관을 노리는 Kimsuky Posted By kwonxx , 2023년 11월 21일 AhnLab Security Emergency response Center(ASEC)은 최근 Kimsuky 공격 그룹에 의해 수입 신고서를 위장한 악성 JSE 파일이 국내 연구 기관을 대상으로 유포되고 있음을 확인하였다. 공격자는 최종적으로 백도어를 활용하여 정보 탈취 및 명령을 수행한다. 수입 신고서를 위장한 드롭퍼 파일명은 아래와 같다. 파일 내부에는 난독화 된 파워쉘 스크립트, Base64 인코딩된 백도어 파일 및 정상 PDF가 존재한다. 파워쉘 스크립트에 의해 ‘수입신고서.PDF’ 파일명으로 정상 PDF가 저장되어 자동 실행되며, 파일 내부에는 공격 대상의 정보가 포함되어 있다. 정상 PDF를 생성 및 실행함으로써 사용자들에게 악성의 백도어 파일이 실행되고…
