Kimsuky 그룹의 신규 백도어 등장 (HappyDoor)
Contents
목차
개요
Kimsuky의 HappyDoor 악성코드는 국내/외 흔히 알려지지 않은 악성코드이다. 자사에서는 해당 악성코드를 2021년에 최초 수집하였으며 지속적으로 모니터링 하던 중 2024년까지도 침해 사고에 사용되고 있는 것을 확인하였다. 조사 결과 공격자는 이 악성코드를 과거부터 지금까지 계속해서 패치를 해온 것으로 보이는데, 아래와 같이 버전(4.2) 및 빌드 추정 날짜(Jan 12 2024)가 버전 정보(Version)에 하드 코딩되어 있으며 최근 샘플의 경우 악성코드 이름(happy)까지 명시된 것을 볼 수 있다.
바이너리 내부 버전 정보(Version)
이 ‘happy’ 문자열은 Export DLL Name 및 코드 내 디버그 문자열에서도 아래와 같이 확인된다. 따라서 AhnLab SEcurity intelligence Center(ASEC)에서는 해당 악성코드를 ‘HappyDoor’라 명명하였다.
유포 방식 및 변화
1. 유포 방식
Kimsuky 그룹은 과거부터 스피어피싱 메일 공격을 통해 다양한 악성코드를 유포하고 있다. 대표적으로 AppleSeed와 AlphaSeed 악성코드를 설치하는 사례가 있으며, 이러한 유포 방식은 과거 보고서(Kimsuky 그룹의 APT 공격 분석 보고서 (AppleSeed, PebbleDash)) 와 2023년 동향 보고서(Kimsuky 그룹의 AppleSeed 악성코드 공격 동향 분석)에서 소개하였고 최근에는 AhnLab TIP에서 “Kimsuky 그룹, Backdoor(AppleSeed, HappyDoor) 유포에 사용된 미끼 파일(2023.12 ~ 2024.04)”문서로 자세히 다루었다.
이번 HappyDoor 또한 기존 유포 …
개요
Kimsuky의 HappyDoor 악성코드는 국내/외 흔히 알려지지 않은 악성코드이다. 자사에서는 해당 악성코드를 2021년에 최초 수집하였으며 지속적으로 모니터링 하던 중 2024년까지도 침해 사고에 사용되고 있는 것을 확인하였다. 조사 결과 공격자는 이 악성코드를 과거부터 지금까지 계속해서 패치를 해온 것으로 보이는데, 아래와 같이 버전(4.2) 및 빌드 추정 날짜(Jan 12 2024)가 버전 정보(Version)에 하드 코딩되어 있으며 최근 샘플의 경우 악성코드 이름(happy)까지 명시된 것을 볼 수 있다.
바이너리 내부 버전 정보(Version)
이 ‘happy’ 문자열은 Export DLL Name 및 코드 내 디버그 문자열에서도 아래와 같이 확인된다. 따라서 AhnLab SEcurity intelligence Center(ASEC)에서는 해당 악성코드를 ‘HappyDoor’라 명명하였다.
유포 방식 및 변화
1. 유포 방식
Kimsuky 그룹은 과거부터 스피어피싱 메일 공격을 통해 다양한 악성코드를 유포하고 있다. 대표적으로 AppleSeed와 AlphaSeed 악성코드를 설치하는 사례가 있으며, 이러한 유포 방식은 과거 보고서(Kimsuky 그룹의 APT 공격 분석 보고서 (AppleSeed, PebbleDash)) 와 2023년 동향 보고서(Kimsuky 그룹의 AppleSeed 악성코드 공격 동향 분석)에서 소개하였고 최근에는 AhnLab TIP에서 “Kimsuky 그룹, Backdoor(AppleSeed, HappyDoor) 유포에 사용된 미끼 파일(2023.12 ~ 2024.04)”문서로 자세히 다루었다.
이번 HappyDoor 또한 기존 유포 …
IoC
0054bdfe4cac0cb7a717749f8c08f5f3
4ef5e3ce535f84f975a8212f5630bfe8
a1c59fec34fec1156e7db27ec16121a7
c7b82b4bafb677bf0f4397b0b88ccfa2
d9b15979e76dd5d18c31e62ab9ff7dae
http://app.seoul.minia.ml/kinsa.php
http://users.nya.pub/index.php
http://go.ktspace.p-e.kr/index.php
http://on.ktspace.p-e.kr/index.php
http://aa.olixa.p-e.kr/index.php
http://uo.zosua.o-r.kr/index.php
http://jp.hyyeo.p-e.kr/index.php
http://ai.hyyeo.p-e.kr/index.php
4ef5e3ce535f84f975a8212f5630bfe8
a1c59fec34fec1156e7db27ec16121a7
c7b82b4bafb677bf0f4397b0b88ccfa2
d9b15979e76dd5d18c31e62ab9ff7dae
http://app.seoul.minia.ml/kinsa.php
http://users.nya.pub/index.php
http://go.ktspace.p-e.kr/index.php
http://on.ktspace.p-e.kr/index.php
http://aa.olixa.p-e.kr/index.php
http://uo.zosua.o-r.kr/index.php
http://jp.hyyeo.p-e.kr/index.php
http://ai.hyyeo.p-e.kr/index.php