Kimsuky 그룹의 APT 공격 분석 보고서 (AppleSeed, PebbleDash)
Contents
Kimsuky 그룹의 APT 공격 분석 보고서 (AppleSeed, PebbleDash)
본 문서는 최근 Kimsuky 그룹에서 사용하는 악성코드들에 대한 분석 보고서이다. Kimsuky 그룹은 주로 스피어피싱과 같은 사회공학적 공격 방식을 이용하는데, 첨부 파일들의 이름으로 추정했을 때 공격 대상들은 주로 북한 및 외교 관련 업무를 수행하는 사용자들로 보인다. 자사 ASD 인프라의 감염 로그를 보면 공격 대상은 일반적인 기업들보다는 개인 사용자들이 다수인 것으로 확인되지만, 공공기관이나 기업들 또한 지속적으로 공격 대상이 되고 있다. 대표적으로 국내 대학교들이 주요 공격 대상이며 이외에도 IT 및 정보 통신 업체, 건설 업체에서도 공격 이력을 확인할 수 있었다.
일반적으로 스피어피싱 공격 메일의 첨부 파일로 추정되는 악성코드들은 문서 파일로 위장하고 있으며 사용자가 해당 파일을 실행할 경우 실제 위장 파일 이름에 상응하는 문서를 실행하여 사용자로 하여금 일반적인 문서 파일을 실행한 것으로 인지시킨다. 하지만 동시에 추가 악성코드들을 설치하는데, 여기에는 대표적으로 AppleSeed와 PebbleDash가 있다. AppleSeed는 2019년경부터 확인된 악성코드로서 여기에서 정리하는 IOC들을 기준으로 다른 악성코드들과 비교했을때 대부분을 차지하고 있을 정도로 다수의 공격에 사용되고 있다. PebbleDash는 NukeSped 변종 악성코드들 중 하나로서 …
본 문서는 최근 Kimsuky 그룹에서 사용하는 악성코드들에 대한 분석 보고서이다. Kimsuky 그룹은 주로 스피어피싱과 같은 사회공학적 공격 방식을 이용하는데, 첨부 파일들의 이름으로 추정했을 때 공격 대상들은 주로 북한 및 외교 관련 업무를 수행하는 사용자들로 보인다. 자사 ASD 인프라의 감염 로그를 보면 공격 대상은 일반적인 기업들보다는 개인 사용자들이 다수인 것으로 확인되지만, 공공기관이나 기업들 또한 지속적으로 공격 대상이 되고 있다. 대표적으로 국내 대학교들이 주요 공격 대상이며 이외에도 IT 및 정보 통신 업체, 건설 업체에서도 공격 이력을 확인할 수 있었다.
일반적으로 스피어피싱 공격 메일의 첨부 파일로 추정되는 악성코드들은 문서 파일로 위장하고 있으며 사용자가 해당 파일을 실행할 경우 실제 위장 파일 이름에 상응하는 문서를 실행하여 사용자로 하여금 일반적인 문서 파일을 실행한 것으로 인지시킨다. 하지만 동시에 추가 악성코드들을 설치하는데, 여기에는 대표적으로 AppleSeed와 PebbleDash가 있다. AppleSeed는 2019년경부터 확인된 악성코드로서 여기에서 정리하는 IOC들을 기준으로 다른 악성코드들과 비교했을때 대부분을 차지하고 있을 정도로 다수의 공격에 사용되고 있다. PebbleDash는 NukeSped 변종 악성코드들 중 하나로서 …