Larva-25004 추적 보고서
Contents
Larva-25004 추적 보고서
요약
ASEC(AhnLab SEcurity intelligence Center)은 2025년 5월 한국 기업의 유출된 인증서로 서명된 악성코드를 추적하는 과정에서 Kimsuky 그룹과 연계된 오퍼레이션을 발견하고 이들을 Larva-25004로 명명했다.
|
항목 |
세부 항목 |
내용 |
|
공격자 (Adversary) |
배후 추정 |
북한 추정 |
|
연계 Threat Actor |
Kimsuky |
|
|
동기 |
정치 |
|
|
활동 기간 |
2023년 8월 – 2025년 9월 현재 |
|
|
공격 기법과 도구 (Capabilities) |
공격 방식 |
스피어피싱, 사내 메신저 서버 내 파일 교체 |
|
사용 취약점 |
알려지지 않음 |
|
|
악성코드 및 도구 |
NikiDoor, HttpSpy, HttpTroy, Memload, InfoStealer 등 |
|
|
특징 |
일부 악성코드는 유출 인증서로 서명 |
|
|
인프라 (Infrastucture) |
C2 서버 |
N/A |
|
피해자 (Victim) |
지역 |
대한민국 |
|
대상 |
방위산업, 공공기업, 공공연구소 |
표 1. Threat Actor 특징
Larva-25004는 Kimsuky와 연계된 그룹으로, 적어도 2023년 8월부터 한국의 공공기업, 방위산업, 연구소 그리고 국가가 식별되지 않는 구직자를 대상으로 공격을 수행해 왔다.
업무 관련 문서 파일로 위장한 JSE, PIF, SCR 등의 실행 파일을 활용한 스피어 피싱 공격을 전개했으며, 사내 설치된 더존 Bizbox Alpha 메신저 서버의 파일이 변조되어 메신저가 실행 후 자동 업데이트 과정에서 감염된 정황도 발견되었다.
HttpSpy, Memload …
요약
ASEC(AhnLab SEcurity intelligence Center)은 2025년 5월 한국 기업의 유출된 인증서로 서명된 악성코드를 추적하는 과정에서 Kimsuky 그룹과 연계된 오퍼레이션을 발견하고 이들을 Larva-25004로 명명했다.
|
항목 |
세부 항목 |
내용 |
|
공격자 (Adversary) |
배후 추정 |
북한 추정 |
|
연계 Threat Actor |
Kimsuky |
|
|
동기 |
정치 |
|
|
활동 기간 |
2023년 8월 – 2025년 9월 현재 |
|
|
공격 기법과 도구 (Capabilities) |
공격 방식 |
스피어피싱, 사내 메신저 서버 내 파일 교체 |
|
사용 취약점 |
알려지지 않음 |
|
|
악성코드 및 도구 |
NikiDoor, HttpSpy, HttpTroy, Memload, InfoStealer 등 |
|
|
특징 |
일부 악성코드는 유출 인증서로 서명 |
|
|
인프라 (Infrastucture) |
C2 서버 |
N/A |
|
피해자 (Victim) |
지역 |
대한민국 |
|
대상 |
방위산업, 공공기업, 공공연구소 |
표 1. Threat Actor 특징
Larva-25004는 Kimsuky와 연계된 그룹으로, 적어도 2023년 8월부터 한국의 공공기업, 방위산업, 연구소 그리고 국가가 식별되지 않는 구직자를 대상으로 공격을 수행해 왔다.
업무 관련 문서 파일로 위장한 JSE, PIF, SCR 등의 실행 파일을 활용한 스피어 피싱 공격을 전개했으며, 사내 설치된 더존 Bizbox Alpha 메신저 서버의 파일이 변조되어 메신저가 실행 후 자동 업데이트 과정에서 감염된 정황도 발견되었다.
HttpSpy, Memload …
IoC
0f06fe847a43108a211233a9c7aa9780
1d12091658f51cdf2e966dde1eaed5ab
24072ca44aa156f2892b2ddd6e3901e1
27d4ff7439694041ef86233c2b804e1f
3867578cce21409db559c73db3d7f347
1d12091658f51cdf2e966dde1eaed5ab
24072ca44aa156f2892b2ddd6e3901e1
27d4ff7439694041ef86233c2b804e1f
3867578cce21409db559c73db3d7f347