GoldDragon/BravePrince 악성코드를 사용하는 Kimsuky 그룹의 국내 공격
Contents
개요
kimsuky(a.k.a Thallium)로 명명된 위협 그룹은 다양한 공격도구를 활용해 국내외 기관이나 산업, 개인 등을 대상으로 활발히 활동 중인 그룹이다. 이 그룹의 공격도구 중 하나인 Golddragon과 BravePrince 클러스터는 2018년 2월 다양한 보안 벤더들에 의해 공개된 악성코드로 오랜 시간 국내를 대상으로 유포되어 왔다.
주요 공격 흐름은 [그림]1과 같다. 공격자는 스피어 피싱과 같은 방법으로 타깃에게 접근하고, 무기화된 문서 또는 악성파일을 전달해 실행을 유도한다. 사용자가 전달받은 파일을 실행하면 메모리에 GoldDragon 악성코드가 인젝션 되어 동작하면서 시스템 정보를 C2로 전송하고, 추가 페이로드인 BravePrince 악성코드를 받아와 실행한다. BravePrince 악성코드는 시스템에 설치되어 지속적으로 시스템 정보를 수집하고 이메일을 통해 시스템 정보를 탈취한다.
2019년 이전의 공격에서는 BravePrince 악성코드가 설치되면 단일 DLL 파일에서 시스템 정보를 수집하고 외부로 전달했지만 2019년 이후에 발견된 공격에서는 시스템 정보를 외부로 전달하기 위해 프로세스를 생성하고 인젝션 하는 루틴이 추가되었다.
[그림 1] GoldDragon / BravePrince 악성코드 공격 도식도
여전히 많은 부분의 코드가 과거와 동일하게 사용되고 있지만, 핵심이 되는 암호화 루틴이나 새로운 프로세스 등의 유의미한 변화가 있어 본 보고서에서 이 악성코드를 이용한 …
kimsuky(a.k.a Thallium)로 명명된 위협 그룹은 다양한 공격도구를 활용해 국내외 기관이나 산업, 개인 등을 대상으로 활발히 활동 중인 그룹이다. 이 그룹의 공격도구 중 하나인 Golddragon과 BravePrince 클러스터는 2018년 2월 다양한 보안 벤더들에 의해 공개된 악성코드로 오랜 시간 국내를 대상으로 유포되어 왔다.
주요 공격 흐름은 [그림]1과 같다. 공격자는 스피어 피싱과 같은 방법으로 타깃에게 접근하고, 무기화된 문서 또는 악성파일을 전달해 실행을 유도한다. 사용자가 전달받은 파일을 실행하면 메모리에 GoldDragon 악성코드가 인젝션 되어 동작하면서 시스템 정보를 C2로 전송하고, 추가 페이로드인 BravePrince 악성코드를 받아와 실행한다. BravePrince 악성코드는 시스템에 설치되어 지속적으로 시스템 정보를 수집하고 이메일을 통해 시스템 정보를 탈취한다.
2019년 이전의 공격에서는 BravePrince 악성코드가 설치되면 단일 DLL 파일에서 시스템 정보를 수집하고 외부로 전달했지만 2019년 이후에 발견된 공격에서는 시스템 정보를 외부로 전달하기 위해 프로세스를 생성하고 인젝션 하는 루틴이 추가되었다.
[그림 1] GoldDragon / BravePrince 악성코드 공격 도식도
여전히 많은 부분의 코드가 과거와 동일하게 사용되고 있지만, 핵심이 되는 암호화 루틴이나 새로운 프로세스 등의 유의미한 변화가 있어 본 보고서에서 이 악성코드를 이용한 …