국내 기업 대상 공격에 사용 중인 SmallTiger 악성코드 (Kimsuky, Andariel 그룹)
Contents
AhnLab SEcurity intelligence Center(ASEC) 에서는 최근 국내 기업들을 대상으로 SmallTiger 악성코드를 이용한 공격 사례들을 확인하여 대응하고 있다. 최초 침투 과정은 확인되지 않지만 공격자는 측면 이동 과정에서 기업 내부에 SmallTiger를 유포하였다. 공격 대상이 된 곳은 국내 방산업체, 자동차 부품 및 반도체 제조업 등이 확인되었다.
해당 공격은 2023년 11월에 최초로 확인되었는데 공격 대상이 된 시스템에서 확인된 악성코드들을 보면 전형적인 Kimsuky 그룹의 소행으로 여겨지지만 내부 전파 과정에서 기업 내의 소프트웨어 업데이트 프로그램을 악용하였다는 점에서 일반적인 Kimsuky 그룹의 공격 방식과의 차이점이 존재한다. 또한 최종적으로 설치된 백도어 악성코드가 과거 Andariel의 공격 사례에서 확인된 DurianBeacon이었다는 점도 특징이다.
동일한 공격자는 2024년 2월부터 공격을 재개하였으며 최종적으로 유포되는 악성코드도 공격자가 SmallTiger라고 이름 지은 다운로더로 변경되었다. SmallTiger를 활용한 공격 사례는 2024년 5월 최근까지도 지속되고 있다.
1. DurianBeacon 공격 사례
2023년 11월 MultiRDP 악성코드와 Meterpreter를 이용한 공격 사례가 확인되었다. MultiRDP로 분류한 악성코드는 현재 실행 중인 원격 데스크톱 서비스의 메모리를 패치하여 다수의 사용자가 RDP로 접속할 수 있도록 설정하는 악성코드이다. 공격자는 이를 통해 사용자 인지 없이 감염 …
해당 공격은 2023년 11월에 최초로 확인되었는데 공격 대상이 된 시스템에서 확인된 악성코드들을 보면 전형적인 Kimsuky 그룹의 소행으로 여겨지지만 내부 전파 과정에서 기업 내의 소프트웨어 업데이트 프로그램을 악용하였다는 점에서 일반적인 Kimsuky 그룹의 공격 방식과의 차이점이 존재한다. 또한 최종적으로 설치된 백도어 악성코드가 과거 Andariel의 공격 사례에서 확인된 DurianBeacon이었다는 점도 특징이다.
동일한 공격자는 2024년 2월부터 공격을 재개하였으며 최종적으로 유포되는 악성코드도 공격자가 SmallTiger라고 이름 지은 다운로더로 변경되었다. SmallTiger를 활용한 공격 사례는 2024년 5월 최근까지도 지속되고 있다.
1. DurianBeacon 공격 사례
2023년 11월 MultiRDP 악성코드와 Meterpreter를 이용한 공격 사례가 확인되었다. MultiRDP로 분류한 악성코드는 현재 실행 중인 원격 데스크톱 서비스의 메모리를 패치하여 다수의 사용자가 RDP로 접속할 수 있도록 설정하는 악성코드이다. 공격자는 이를 통해 사용자 인지 없이 감염 …
IoC
0859f9666e0428447451c036a38057f6
0be7d0975d3d81403d16ba4c4c9c7bf8
104.168.145.83
104.36.229.179
1210ff921922f2e27db4feae9fe63394
188f289206c3a945d670f29400d9f77f
232046aff635f1a5d81e415ef64649b7
2766fcf5fa81a2877864a07ef306cde4
2a60348bd0fb2b5fadeb2a691c921370
2a66a7ada05eb52f1776838b3dce5d06
2ab94919a1201f5fb4d2173405f3cfac
2b8fabd12a20fd4a6b5b426dca916f68
38.110.1.69
383e179513166b4869992072829f0ffb
461024c289d60c40093b82eed59afff9
48d53985cefb9029feb349bcd514c444
49070c554161628b85157423611fb764
57445041f7a1e57da92e858fc3efeabe
5e287812438655b76132a904e340c023
5e7acd7bf25dd7ef69bd76cbf7e96819
7327039d79843587b76af435e7ac27cd
751229f1aed80d2a5097010118d11152
88f7dd7c62cd5d24c2b837e006c01919
91.228.218.7
9283c404ec0e6f6e13780722f17e8acb
9c184826f3204461ae0a08dbc825473b
9e1203bbd0b90461022b66d9e9197cc9
afe4a8291fb1d6a050a657b1d6d0f650
c08e276205ed88e7fecf8c0914453702
d6a38ffdbac241d69674fb142a420740
e582bd909800e87952eb1f206a279e47
e930b05efe23891d19bc354a4209be3e
ee1db63be5d5ee0938d98e6a3d8094db
f873e1ffac39818f4dd86b17843f9351
fc8eb59d39dc5a3ee7cf231c76f2e606
ffb29b1cd4e0ffa1f96df9514711fefc
http://104.168.145.83:993
http://104.36.229.179/
http://104.36.229.179/am.dll
http://38.110.1.69/
http://38.110.1.69:993
http://91.228.218.7/
http://kevinblog.ddns.net/
http://my.shoping.kro.kr/m.dat
http://my.shoping.kro.kr/ng.db
http://my.shoping.kro.kr/setting.dat
http://w3.navver.o-r.kr/
http://w3.navver.o-r.kr/bbs.html
http://w3.navver.o-r.kr:53
http://www.aslark.kro.kr:1433
http://www.aslark1.kro.kr:1433
http://www.devf.n-e.kr:443
http://www.kepir.p-e.kr/
http://www.kepir.p-e.kr:1521
http://www.kepir.p-e.kr:53
http://www.lazor.kro.kr:3306
http://www.lazor.kro.kr:443
http://www.lazor.kro.kr:53
http://www.lfgu.n-e.kr:53
http://www.luvb.n-b.kr:3306
http://www.navver.o-r.kr/
http://www.navver.o-r.kr/nav.html
http://www.navver.o-r.kr:53
http://www.yah00.o-r.kr/
http://www.yah00.o-r.kr:53
https://raw.githubusercontent.com/phantom5201314/google/main/kiss
https://raw.githubusercontent.com/phantom5201314/google/main/nav.html
https://raw.githubusercontent.com/phantom5201314/google/main/top.png
0be7d0975d3d81403d16ba4c4c9c7bf8
104.168.145.83
104.36.229.179
1210ff921922f2e27db4feae9fe63394
188f289206c3a945d670f29400d9f77f
232046aff635f1a5d81e415ef64649b7
2766fcf5fa81a2877864a07ef306cde4
2a60348bd0fb2b5fadeb2a691c921370
2a66a7ada05eb52f1776838b3dce5d06
2ab94919a1201f5fb4d2173405f3cfac
2b8fabd12a20fd4a6b5b426dca916f68
38.110.1.69
383e179513166b4869992072829f0ffb
461024c289d60c40093b82eed59afff9
48d53985cefb9029feb349bcd514c444
49070c554161628b85157423611fb764
57445041f7a1e57da92e858fc3efeabe
5e287812438655b76132a904e340c023
5e7acd7bf25dd7ef69bd76cbf7e96819
7327039d79843587b76af435e7ac27cd
751229f1aed80d2a5097010118d11152
88f7dd7c62cd5d24c2b837e006c01919
91.228.218.7
9283c404ec0e6f6e13780722f17e8acb
9c184826f3204461ae0a08dbc825473b
9e1203bbd0b90461022b66d9e9197cc9
afe4a8291fb1d6a050a657b1d6d0f650
c08e276205ed88e7fecf8c0914453702
d6a38ffdbac241d69674fb142a420740
e582bd909800e87952eb1f206a279e47
e930b05efe23891d19bc354a4209be3e
ee1db63be5d5ee0938d98e6a3d8094db
f873e1ffac39818f4dd86b17843f9351
fc8eb59d39dc5a3ee7cf231c76f2e606
ffb29b1cd4e0ffa1f96df9514711fefc
http://104.168.145.83:993
http://104.36.229.179/
http://104.36.229.179/am.dll
http://38.110.1.69/
http://38.110.1.69:993
http://91.228.218.7/
http://kevinblog.ddns.net/
http://my.shoping.kro.kr/m.dat
http://my.shoping.kro.kr/ng.db
http://my.shoping.kro.kr/setting.dat
http://w3.navver.o-r.kr/
http://w3.navver.o-r.kr/bbs.html
http://w3.navver.o-r.kr:53
http://www.aslark.kro.kr:1433
http://www.aslark1.kro.kr:1433
http://www.devf.n-e.kr:443
http://www.kepir.p-e.kr/
http://www.kepir.p-e.kr:1521
http://www.kepir.p-e.kr:53
http://www.lazor.kro.kr:3306
http://www.lazor.kro.kr:443
http://www.lazor.kro.kr:53
http://www.lfgu.n-e.kr:53
http://www.luvb.n-b.kr:3306
http://www.navver.o-r.kr/
http://www.navver.o-r.kr/nav.html
http://www.navver.o-r.kr:53
http://www.yah00.o-r.kr/
http://www.yah00.o-r.kr:53
https://raw.githubusercontent.com/phantom5201314/google/main/kiss
https://raw.githubusercontent.com/phantom5201314/google/main/nav.html
https://raw.githubusercontent.com/phantom5201314/google/main/top.png