APT그룹 추적 보고서 - Larva-24005
Contents
APT그룹 추적 보고서 – Larva-24005
1) 소개
안랩 ASEC(AhnLab SEcurity intelligence Center)은 침해 사고 조사 과정에서 Kimsuky 그룹과 연관된 새로운 오퍼레이션을 발견하고 Larva-24005로 명명했다.[1] 이들은 RDP 취약점으로 최초 침투 후 MySpy 악성코드로 시스템 설정을 변경하고, RDPWrap을 설치해 지속적인 원격 접근 환경을 만들었다. 또, 사용자의 키보드 입력을 저장하는 키로거를 감염시켰다.
포렌식 분석을 통해 확인된 위협 정보는 ATIP을 통해 ‘Kimsuky 공격 그룹의 BlueKeep 취약점을 이용한 국내 시스템 침투 및 정보 유출 사례’[2]와 ‘국내 서버를 상위 C2로 활용한 Larva-24005 공격 그룹의 공격 인프라 구축 사례’[3]로 공개됐다.
2) 공격 대상 및 사례
이들은 2023년 10월부터 한국의 소프트웨어, 에너지, 금융 분야를 공격했으며, 한국, 일본 등에 피싱 메일을 보냈다. 공격에 사용된 인프라 분석을 통해 이들은 2023년 9월부터 한국, 미국, 중국, 일본, 독일, 싱가포르를 중심으로 남아프리카공화국, 네덜란드, 멕시코, 베트남, 벨기에, 영국, 캐나다, 태국, 폴란드 등의 국가를 공격한 사실도 확인되었다.
3) 공격 방법
일부 시스템에서는 RDP 취약점 (BlueKeep, CVE-2019-0708)을 통해 초기 침투가 확인되었다. 침해된 시스템에서 RDP 취약점 스캐너가 발견되었지만, 실제 공격에 활용된 이력은 확인되지 않았다. …
1) 소개
안랩 ASEC(AhnLab SEcurity intelligence Center)은 침해 사고 조사 과정에서 Kimsuky 그룹과 연관된 새로운 오퍼레이션을 발견하고 Larva-24005로 명명했다.[1] 이들은 RDP 취약점으로 최초 침투 후 MySpy 악성코드로 시스템 설정을 변경하고, RDPWrap을 설치해 지속적인 원격 접근 환경을 만들었다. 또, 사용자의 키보드 입력을 저장하는 키로거를 감염시켰다.
포렌식 분석을 통해 확인된 위협 정보는 ATIP을 통해 ‘Kimsuky 공격 그룹의 BlueKeep 취약점을 이용한 국내 시스템 침투 및 정보 유출 사례’[2]와 ‘국내 서버를 상위 C2로 활용한 Larva-24005 공격 그룹의 공격 인프라 구축 사례’[3]로 공개됐다.
2) 공격 대상 및 사례
이들은 2023년 10월부터 한국의 소프트웨어, 에너지, 금융 분야를 공격했으며, 한국, 일본 등에 피싱 메일을 보냈다. 공격에 사용된 인프라 분석을 통해 이들은 2023년 9월부터 한국, 미국, 중국, 일본, 독일, 싱가포르를 중심으로 남아프리카공화국, 네덜란드, 멕시코, 베트남, 벨기에, 영국, 캐나다, 태국, 폴란드 등의 국가를 공격한 사실도 확인되었다.
3) 공격 방법
일부 시스템에서는 RDP 취약점 (BlueKeep, CVE-2019-0708)을 통해 초기 침투가 확인되었다. 침해된 시스템에서 RDP 취약점 스캐너가 발견되었지만, 실제 공격에 활용된 이력은 확인되지 않았다. …
IoC
1177fecd07e3ad608c745c81225e4544
14caab369a364f4dd5f58a7bbca34da6
184a4f3f00ca40d10790270a20019bb4
30bcac6815ba2375bef3daf22ff28698
46cd19c3dac997bfa1a90028a28b5045
14caab369a364f4dd5f58a7bbca34da6
184a4f3f00ca40d10790270a20019bb4
30bcac6815ba2375bef3daf22ff28698
46cd19c3dac997bfa1a90028a28b5045