lazarusholic

Everyday is lazarus.dayβ

Kimsuky 그룹의 APT 공격사례 (PebbleDash)

2021-12-21, Ahnlab
https://asec.ahnlab.com/ko/29718/
#Kimsuky #PebbleDash

Contents

최근 ASEC 분석팀은 APT 공격을 시도하는 악성코드 동향을 지속적으로 파악하며 관련 내용을 공유하고 있다. 이번에 확인된 사례는 PebbleDash 백도어 악성코드를 이용한 공격 사례이며, 이외에도 AppleSeed, Meterpreter 및 추가적인 악성코드들의 로그를 확인할 수 있었다.
PebbleDash 백도어
공격자는 다음과 같은 스피어 피싱 메일을 전송하여 사용자로 하여금 첨부 파일로 보여지는 링크를 클릭하여 압축 파일을 다운로드 받고 실행하게 유도하였다.
첨부된 zip 압축 파일의 압축을 해제하면 다음과 같이 “준공계.pif” 파일을 확인할 수 있다. 이 악성코드는 실제 악성 행위를 담당하는 PebbleDash 백도어 악성코드를 드랍하는 드로퍼 악성코드이다.
드로퍼 악성코드는 PebbleDash를 “C:\ProgramData\thumbs.db.pif” 경로에 드랍 및 실행하며, 동시에 정상 PDF 문서 파일 “C:\ProgramData\준공계.pdf”을 드랍 및 실행하기 때문에 사용자는 PDF 문서 파일을 실행한 것으로 인지시킨다.
이렇게 스피어 피싱 메일의 첨부 파일을 통해 설치된 PebbleDash는 공격자의 명령을 받아 악성 행위를 수행할수 있는 백도어 악성코드이다. C&C 서버로부터 전달받아 수행 가능한 명령들로는 프로세스 및 파일 작업 그리고 파일 다운로드 및 업로드 기능 등이 있으며 이에 따라 공격자는 PebbleDash를 이용해 시스템에 대한 제어를 획득할 수 있다.
이번에 확인된 PebbleDash는 올해부터 …

IoC

25f057bff7de9d3bc2fb325697c56334
269ded557281d38b5966d6227c757e92
71fe5695bd45b72a8bb864636d92944b
7211fed2e2ec624c87782926200d61fd
http://m.sharing.p-e.kr/index.php?query=me
http://tools.macbook.kro.kr/update.php