일본을 노리는 Larva-24005 그룹의 피싱 메일 공격 사례
Contents
일본을 노리는 Larva-24005 그룹의 피싱 메일 공격 사례
ASEC(AhnLab SEcurity intelligence Center)은 Larva-24005가 국내에서 운영되고 있는 서버를 침해한 뒤, 피싱 메일 발송을 위한 웹 서버, 데이터베이스, PHP 환경을 구축하는 행위를 확인했다.
Larva-24005는 공격 거점을 이용해 국내 뿐만 아니라 일본도 공격 대상으로 삼고 있는 것으로 확인됐다. 주요 공격 대상은 대북 관련 종사자와 북한 체제와 관련된 연구를 하는 대학 교수 등이며 피싱 메일 공격을 위해 C2 서버를 구성하고, 메일 본문에 ZOOM 회의 링크나 웹 포탈 로그인 페이지로 위장해 사용자의 클릭을 유도하고 있다.
본 블로그에서는 Larva-24005가 공격 인프라를 확보하는 과정과 일본을 타깃으로 한 피싱 메일 공격 사례를 설명하고자 한다.
1. Larva-24005
Larva-24005는 북한의 지원을 받는 것으로 알려진 Kimsuky 공격 그룹의 하위 그룹으로, 자사의 위협 관리 분류 체계에 따라 새롭게 명명된 이름이다. 이들은 취약하게 운영되고 있는 Windows 시스템의 RDP 취약점을 통해 최초 침투하는 것으로 보이며, 침투 후에는 Windows 운영 체제에서 원격 데스크톱 프로토콜(RDP) 연결을 활성화하는 오픈소스 유틸리티 RDPWrap과 자체 제작 키로거를 시스템에 설치한다.
2. 공격자가 피싱 메일을 발송하기 위해 사전에 …
ASEC(AhnLab SEcurity intelligence Center)은 Larva-24005가 국내에서 운영되고 있는 서버를 침해한 뒤, 피싱 메일 발송을 위한 웹 서버, 데이터베이스, PHP 환경을 구축하는 행위를 확인했다.
Larva-24005는 공격 거점을 이용해 국내 뿐만 아니라 일본도 공격 대상으로 삼고 있는 것으로 확인됐다. 주요 공격 대상은 대북 관련 종사자와 북한 체제와 관련된 연구를 하는 대학 교수 등이며 피싱 메일 공격을 위해 C2 서버를 구성하고, 메일 본문에 ZOOM 회의 링크나 웹 포탈 로그인 페이지로 위장해 사용자의 클릭을 유도하고 있다.
본 블로그에서는 Larva-24005가 공격 인프라를 확보하는 과정과 일본을 타깃으로 한 피싱 메일 공격 사례를 설명하고자 한다.
1. Larva-24005
Larva-24005는 북한의 지원을 받는 것으로 알려진 Kimsuky 공격 그룹의 하위 그룹으로, 자사의 위협 관리 분류 체계에 따라 새롭게 명명된 이름이다. 이들은 취약하게 운영되고 있는 Windows 시스템의 RDP 취약점을 통해 최초 침투하는 것으로 보이며, 침투 후에는 Windows 운영 체제에서 원격 데스크톱 프로토콜(RDP) 연결을 활성화하는 오픈소스 유틸리티 RDPWrap과 자체 제작 키로거를 시스템에 설치한다.
2. 공격자가 피싱 메일을 발송하기 위해 사전에 …
IoC
b500a8ffd4907a1dfda985683f1de1df