2025년 3월 PebbleDash 악성코드 유포 사례
Contents
2025년 3월 PebbleDash 악성코드 유포 사례
PebbleDash 백도어 악성코드는 지난 2020년에 미국 국토부 산하기관인 CISA에서 명명한 Lazarus(Hidden Corba)의 백도어 악성코드이다. 당시에는 Lazarus 그룹의 악성코드로 알려져있었지만 최근들어 Lazarus 그룹의 공격 사례보다는 개인을 대상으로 악성코드 유포를 일삼는 Kimsuky 그룹의 공격 사례에서 PebbleDash 악성코드가 다수 확인되고 있다. 본 보고서에서는 Kimsuky 그룹의 PebbleDash 악성코드 최신 유포 과정과 PebbleDash와 함께 확인되는 악성코드와 추가 모듈에 대해 다루고자 한다.
과거 TI 보고서에서 여러 차례 언급하였던 것처럼 Kimsuky 공격 그룹은 PebbleDash와 함께 원격 제어를 위해 오픈소스인 RDP Wrapper를 사용한다고 알려져있다. 그러나 최근에는 터미널 서비스 역할을 수행하는 termsrv.dll을 공격자가 직접 패치하여 사용하는 사례가 다수 확인되고 있다.
아래 [그림 1]은 최근 Kimsuky 그룹의 PebbleDash 악성코드를 활용한 공격 과정이다.
[그림 1] Kimsuky 그룹의 최신 PebbleDash 악성코드 공격 과정
공격 과정
1. 초기침투, 지속성 유지, 거점 확보
PebbleDash를 악용한 사례에서 공격자의 공격 과정은 크게 초기 침투, 지속성 유지, 거점 확보, 추가 악성코드 생성 총 4가지로 분류할 수 있다. 먼저 공격자는 초기 침투를 위해 특정 개인을 대상으로 스피어 피싱 공격을 …
PebbleDash 백도어 악성코드는 지난 2020년에 미국 국토부 산하기관인 CISA에서 명명한 Lazarus(Hidden Corba)의 백도어 악성코드이다. 당시에는 Lazarus 그룹의 악성코드로 알려져있었지만 최근들어 Lazarus 그룹의 공격 사례보다는 개인을 대상으로 악성코드 유포를 일삼는 Kimsuky 그룹의 공격 사례에서 PebbleDash 악성코드가 다수 확인되고 있다. 본 보고서에서는 Kimsuky 그룹의 PebbleDash 악성코드 최신 유포 과정과 PebbleDash와 함께 확인되는 악성코드와 추가 모듈에 대해 다루고자 한다.
과거 TI 보고서에서 여러 차례 언급하였던 것처럼 Kimsuky 공격 그룹은 PebbleDash와 함께 원격 제어를 위해 오픈소스인 RDP Wrapper를 사용한다고 알려져있다. 그러나 최근에는 터미널 서비스 역할을 수행하는 termsrv.dll을 공격자가 직접 패치하여 사용하는 사례가 다수 확인되고 있다.
아래 [그림 1]은 최근 Kimsuky 그룹의 PebbleDash 악성코드를 활용한 공격 과정이다.
[그림 1] Kimsuky 그룹의 최신 PebbleDash 악성코드 공격 과정
공격 과정
1. 초기침투, 지속성 유지, 거점 확보
PebbleDash를 악용한 사례에서 공격자의 공격 과정은 크게 초기 침투, 지속성 유지, 거점 확보, 추가 악성코드 생성 총 4가지로 분류할 수 있다. 먼저 공격자는 초기 침투를 위해 특정 개인을 대상으로 스피어 피싱 공격을 …
IoC
70d92e2b00ec6702e17e266b7742bbab
641593eea5f235e27d7cff27d5b7ca2a
641593eea5f235e27d7cff27d5b7ca2a