Kimsuky 그룹의 AppleSeed 악성코드 공격 동향 분석
Contents
북한의 지원을 받고 있다고 알려진 Kimsuky 위협 그룹은 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행하였으며 2014년 한국의 에너지 기관에 대한 공격이 그리고 2017년 이후에는 한국 외 다른 나라에 대한 공격도 확인되고 있다. [1] 주로 스피어 피싱 공격을 통해 국방, 방위산업, 언론, 외교, 국가기관, 학술 분야를 공격 중이며 조직의 내부 정보 및 기술 탈취를 목적으로 한다. [2]
Kimsuky 그룹은 일반적으로 초기 침투 경로로서 스피어 피싱 공격을 주로 사용하는데, 최근에는 LNK 포맷의 바로 가기 악성코드들을 이용한 공격 사례들이 다수를 차지하고 있다. 물론 LNK 악성코드가 최근 공격 사례에서 차지하는 비중이 높기는 하지만 JavaScript 악성코드나 악성 문서 파일을 이용하는 공격 사례도 지속적으로 확인된다.
JavaScript 악성코드를 이용하는 공격 사례는 과거 “Kimsuky 그룹의 APT 공격 분석 보고서 (AppleSeed, PebbleDash)” 보고서에서 다루었던 AppleSeed 악성코드 유포에 주로 사용된다. [3] 해당 포스팅은 2021년 11월에 공개하였지만 Kimsuky 그룹은 최근까지도 AppleSeed를 공격에 사용하고 있다. 물론 AppleSeed 설치 시 JavaScript뿐만 아니라 엑셀 매크로 악성코드가 사용되기도 한다. [4]
공격 방식이나 함께 …
Kimsuky 그룹은 일반적으로 초기 침투 경로로서 스피어 피싱 공격을 주로 사용하는데, 최근에는 LNK 포맷의 바로 가기 악성코드들을 이용한 공격 사례들이 다수를 차지하고 있다. 물론 LNK 악성코드가 최근 공격 사례에서 차지하는 비중이 높기는 하지만 JavaScript 악성코드나 악성 문서 파일을 이용하는 공격 사례도 지속적으로 확인된다.
JavaScript 악성코드를 이용하는 공격 사례는 과거 “Kimsuky 그룹의 APT 공격 분석 보고서 (AppleSeed, PebbleDash)” 보고서에서 다루었던 AppleSeed 악성코드 유포에 주로 사용된다. [3] 해당 포스팅은 2021년 11월에 공개하였지만 Kimsuky 그룹은 최근까지도 AppleSeed를 공격에 사용하고 있다. 물론 AppleSeed 설치 시 JavaScript뿐만 아니라 엑셀 매크로 악성코드가 사용되기도 한다. [4]
공격 방식이나 함께 …
IoC
02843206001cd952472abf5ae2b981b2
0cce02d2d835a996ad5dfc0406b44b01
104.168.145.83
107.148.71.88
153383634ee35b7db6ab59cde68bf526
159.100.6.137
1f7d2cbfc75d6eb2c4f2b8b7a3eec1bf
232046aff635f1a5d81e415ef64649b7
38.110.1.69
45.114.129.138
4511e57ae1eacdf1c2922bf1a94bfb8d
4cb843f2a5b6ed7e806c69e6c25a1025
52ff761212eeaadcd3a95a1f8cce4030
58fafabd6ae8360c9d604cd314a27159
5d3ab2baacf2ad986ed7542eeabf3dab
6a968fd1608bca7255c329a0701dbf58
76831271eb117b77a57869c80bfd6ba6
7a7937f8d4dcb335e96db05b2fb64a1b
8aeacd58d371f57774e63d217b6b6f98
ac99b5c1d66b5f0ddb4423c627ca8333
ae9593c0c80e55ff49c28e28bf8bc887
b5d3e0c3c470d2d41967229e17259c87
b6ab96dc4778c6704b6def5db448a020
b6f17d59f38aba69d6da55ce36406729
c560d3371a16ef17dd79412f6ea99d3a
cacf04cd560b70eaaf0e75f3da9a5e8f
cafc26b215550521a12b38de38fa802b
d4ad31f316dc4ca0e7170109174827cf
d94c6323c3f77965451c0b7ebeb32e13
db5fc5cf50f8c1e19141eb238e57658c
e34669d56a13d607da1f76618eb4b27e
e582bd909800e87952eb1f206a279e47
ee76638004c68cfc34ff1fea2a7565a7
f3a55d49562e41c7d339fb52457513ba
http://104.168.145.83:993
http://107.148.71.88:993
http://159.100.6.137:993
http://38.110.1.69:993
http://45.114.129.138:33890
http://45.114.129.138:5500
http://bitburny.kro.kr/aha/
http://bitthum.kro.kr/hu/
http://doma2.o-r.kr//
http://my.topton.r-e.kr/address/
http://nobtwoseb1.n-e.kr/
http://octseven1.p-e.kr/
http://tehyeran1.r-e.kr/
http://update.ahnlaib.kro.kr/aha/
http://update.doumi.kro.kr/aha/
http://update.onedrive.p-e.kr/aha/
http://yes24.r-e.kr/aha/
0cce02d2d835a996ad5dfc0406b44b01
104.168.145.83
107.148.71.88
153383634ee35b7db6ab59cde68bf526
159.100.6.137
1f7d2cbfc75d6eb2c4f2b8b7a3eec1bf
232046aff635f1a5d81e415ef64649b7
38.110.1.69
45.114.129.138
4511e57ae1eacdf1c2922bf1a94bfb8d
4cb843f2a5b6ed7e806c69e6c25a1025
52ff761212eeaadcd3a95a1f8cce4030
58fafabd6ae8360c9d604cd314a27159
5d3ab2baacf2ad986ed7542eeabf3dab
6a968fd1608bca7255c329a0701dbf58
76831271eb117b77a57869c80bfd6ba6
7a7937f8d4dcb335e96db05b2fb64a1b
8aeacd58d371f57774e63d217b6b6f98
ac99b5c1d66b5f0ddb4423c627ca8333
ae9593c0c80e55ff49c28e28bf8bc887
b5d3e0c3c470d2d41967229e17259c87
b6ab96dc4778c6704b6def5db448a020
b6f17d59f38aba69d6da55ce36406729
c560d3371a16ef17dd79412f6ea99d3a
cacf04cd560b70eaaf0e75f3da9a5e8f
cafc26b215550521a12b38de38fa802b
d4ad31f316dc4ca0e7170109174827cf
d94c6323c3f77965451c0b7ebeb32e13
db5fc5cf50f8c1e19141eb238e57658c
e34669d56a13d607da1f76618eb4b27e
e582bd909800e87952eb1f206a279e47
ee76638004c68cfc34ff1fea2a7565a7
f3a55d49562e41c7d339fb52457513ba
http://104.168.145.83:993
http://107.148.71.88:993
http://159.100.6.137:993
http://38.110.1.69:993
http://45.114.129.138:33890
http://45.114.129.138:5500
http://bitburny.kro.kr/aha/
http://bitthum.kro.kr/hu/
http://doma2.o-r.kr//
http://my.topton.r-e.kr/address/
http://nobtwoseb1.n-e.kr/
http://octseven1.p-e.kr/
http://tehyeran1.r-e.kr/
http://update.ahnlaib.kro.kr/aha/
http://update.doumi.kro.kr/aha/
http://update.onedrive.p-e.kr/aha/
http://yes24.r-e.kr/aha/