AhnLab EDR을 활용한 Kimsuky 그룹의 스피어 피싱 공격 탐지 (AppleSeed, AlphaSeed)
Contents
북한의 지원을 받고 있다고 알려진 Kimsuky 위협 그룹은 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행하였으며 2014년 한국의 에너지 기관에 대한 공격이 그리고 2017년 이후에는 한국 외 다른 나라에 대한 공격도 확인되고 있다. [1] 주로 스피어 피싱 공격을 통해 국방, 방위산업, 언론, 외교, 국가기관, 학술 분야를 공격 중이며 조직의 내부 정보 및 기술 탈취를 목적으로 한다. [2]
Kimsuky 그룹은 공격에 따라 다양한 악성코드들을 사용하는데 대표적으로 AppleSeed와 AlphaSeed 악성코드를 설치하는 사례가 있다. 이러한 공격은 수년 전부터 지속되고 있으며 과거 “Kimsuky 그룹의 APT 공격 분석 보고서 (AppleSeed, PebbleDash)” [3] 와 최근 공개한 “Kimsuky 그룹의 AppleSeed 악성코드 공격 동향 분석” [4] 에서 상세하게 다루었다.
여기에서는 수년간 지속된 Kimsuky 그룹의 스피어 피싱 공격을 AhnLab EDR을 활용해 탐지하는 사례를 다룬다. 관리자는 이를 통해 위협을 사전에 인지하고 원인 파악과 적절한 대응을 진행할 수 있다.
1. 스피어 피싱 공격
공격자는 주로 악성코드를 첨부한 스피어 피싱 메일을 보내는 방식으로 공격을 시작한다. 공격 대상으로는 외교, 국방, 학술기관, 기업뿐만 아니라 …
Kimsuky 그룹은 공격에 따라 다양한 악성코드들을 사용하는데 대표적으로 AppleSeed와 AlphaSeed 악성코드를 설치하는 사례가 있다. 이러한 공격은 수년 전부터 지속되고 있으며 과거 “Kimsuky 그룹의 APT 공격 분석 보고서 (AppleSeed, PebbleDash)” [3] 와 최근 공개한 “Kimsuky 그룹의 AppleSeed 악성코드 공격 동향 분석” [4] 에서 상세하게 다루었다.
여기에서는 수년간 지속된 Kimsuky 그룹의 스피어 피싱 공격을 AhnLab EDR을 활용해 탐지하는 사례를 다룬다. 관리자는 이를 통해 위협을 사전에 인지하고 원인 파악과 적절한 대응을 진행할 수 있다.
1. 스피어 피싱 공격
공격자는 주로 악성코드를 첨부한 스피어 피싱 메일을 보내는 방식으로 공격을 시작한다. 공격 대상으로는 외교, 국방, 학술기관, 기업뿐만 아니라 …
IoC
486370be06493d78a9922b3a6e424909
7756b4230adfa16e18142d1dbe6934af
8b77608db042b225ae8f59276ee3a165
a0dd33b6b8c3ac9bee46a95586df345f
http://peras1.n-e.kr/
7756b4230adfa16e18142d1dbe6934af
8b77608db042b225ae8f59276ee3a165
a0dd33b6b8c3ac9bee46a95586df345f
http://peras1.n-e.kr/