크롬 원격 데스크톱을 악용하는 Kimsuky 공격 그룹
Contents
AhnLab Security Emergency response Center(ASEC)에서는 최근 Kimsuky (김수키) 공격 그룹이 크롬 원격 데스크톱을 악용하고 있는 것을 확인하였다. Kimsuky 공격 그룹은 감염 시스템에 대한 제어를 획득하기 위해 자체 제작 악성코드인 AppleSeed 외에도 Meterpreter와 같은 원격 제어 악성코드를 사용하고 있으며 [1], VNC를 커스터마이징하여 사용하거나 RDP Wrapper와 같은 원격 제어 도구들을 악용하는 이력도 꾸준히 확인된다. [2] 여기에서는 최근 확인된 크롬 원격 데스크톱 악용 사례를 정리한다.
Kimsuky 공격 그룹은 북한의 지원을 받고 있다고 확인되는 위협 그룹으로서 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행하였으며, 2014년 한국의 에너지 기관에 대한 공격을 그리고 2017년 이후에는 한국 외의 다른 나라에 대한 공격도 확인되고 있다. [3]
1. 공격 흐름
최근 Kimsuky 그룹은 악성코드 유포 과정에서 주로 악성 한글 및 MS 오피스 문서 파일이나 CHM 포맷을 사용하고 있다. 이러한 악성코드들이 첨부된 스피어 피싱 메일을 받은 사용자들은 정상 문서 파일로 생각하고 파일을 실행하게 되며 이에 따라 추가적인 악성코드가 시스템에 설치될 수 있다. AppleSeed 유포 과정에서는 주로 문서 파일들의 확장자를 …
Kimsuky 공격 그룹은 북한의 지원을 받고 있다고 확인되는 위협 그룹으로서 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행하였으며, 2014년 한국의 에너지 기관에 대한 공격을 그리고 2017년 이후에는 한국 외의 다른 나라에 대한 공격도 확인되고 있다. [3]
1. 공격 흐름
최근 Kimsuky 그룹은 악성코드 유포 과정에서 주로 악성 한글 및 MS 오피스 문서 파일이나 CHM 포맷을 사용하고 있다. 이러한 악성코드들이 첨부된 스피어 피싱 메일을 받은 사용자들은 정상 문서 파일로 생각하고 파일을 실행하게 되며 이에 따라 추가적인 악성코드가 시스템에 설치될 수 있다. AppleSeed 유포 과정에서는 주로 문서 파일들의 확장자를 …
IoC
80f381a20d466e7a02ea37592a26b0b8
946e1e0d2e0d7785d2e2bcd3634bcd2a
b6d11017e02e7d569cfe203eda25f3aa
d2eb306ee0d7dabfe43610e0831bef49
d6a38ffdbac241d69674fb142a420740
http://getara1.mygamesonline.org
http://pikaros2.r-e.kr/
https://bigfile.mail.naver.com/download?fid=lekqm6cmwzu9hqujfovzfq2lfamjkogzkqgrkoewkoeqkabjkxmlkaulfqula3ydaxgrp63cm4u9mopvmqbmpxm/kzk0kzewkxbmfqvxp2==
946e1e0d2e0d7785d2e2bcd3634bcd2a
b6d11017e02e7d569cfe203eda25f3aa
d2eb306ee0d7dabfe43610e0831bef49
d6a38ffdbac241d69674fb142a420740
http://getara1.mygamesonline.org
http://pikaros2.r-e.kr/
https://bigfile.mail.naver.com/download?fid=lekqm6cmwzu9hqujfovzfq2lfamjkogzkqgrkoewkoeqkabjkxmlkaulfqula3ydaxgrp63cm4u9mopvmqbmpxm/kzk0kzewkxbmfqvxp2==