Larva-25004 (Kimsuky 연관) 그룹의 추가 인증서 악용 사례 - Nexaweb 인증서로 서명된 악성코드
Contents
Larva-25004 (Kimsuky 연관) 그룹의 추가 인증서 악용 사례 – Nexaweb 인증서로 서명된 악성코드
ASEC(AhnLab SEcurity intelligence Center)은 한국 업체의 인증서로 서명된 악성코드와 동일한 특징을 가진 파일을 조사해 Nexaweb Inc. 인증서로 서명된 악성코드를 발견했다.
이들 악성코드는 다른 보안업체에서 Kimsuky 그룹의 활동으로 보고했었다.
안랩은 이들을 Larva-25004로 명명하고 추적 중이다.
Nextweb 인증서 서명 악성코드
발견된 파일은 2개로 MD5 해시 정보는 다음과 같다.
Job Description (LM HR Division II).pdf.scr : 73d2899aade924476e58addf26254c2e
Automation Manager JD(LM HR II).scr 로 알려짐 : aa8936431f7bc0fabb0b9efb6ea153f9
이들 파일은 Nexaweb 인증서 (일련 번호 : 0315e137a6e2d658f07af454c63a0af2)로 2024년 5월 24일과 28일에 서명되었다.
악성코드가 실행되면 취업과 관련된 PDF 파일을 미끼로 보여 준다.
정확한 타깃은 확인되지 않았지만, 미끼 문서로 볼 때 방위산업체 입사에 관심있는 사람이 대상으로 추정된다.
의문의 Nexaweb 인증서
Nexaweb에서 이전에 사용한 인증서 (일련 번호 : 28ce4d33e7994c2be95816eea5773ed1 )로 서명된 파일들에서는 악성코드가 발견되지 않았다.
악성코드에 서명된 인증서는 다른 파일 서명에 사용되지 않고 악성코드 2개 파일 서명에만 사용되어 실제 Nexaweb 사의 인증서인지 문의했지만 아직 답변을 못 받았다.
ASEC(AhnLab SEcurity intelligence Center)은 한국 업체의 인증서로 서명된 악성코드와 동일한 특징을 가진 파일을 조사해 Nexaweb Inc. 인증서로 서명된 악성코드를 발견했다.
이들 악성코드는 다른 보안업체에서 Kimsuky 그룹의 활동으로 보고했었다.
안랩은 이들을 Larva-25004로 명명하고 추적 중이다.
Nextweb 인증서 서명 악성코드
발견된 파일은 2개로 MD5 해시 정보는 다음과 같다.
Job Description (LM HR Division II).pdf.scr : 73d2899aade924476e58addf26254c2e
Automation Manager JD(LM HR II).scr 로 알려짐 : aa8936431f7bc0fabb0b9efb6ea153f9
이들 파일은 Nexaweb 인증서 (일련 번호 : 0315e137a6e2d658f07af454c63a0af2)로 2024년 5월 24일과 28일에 서명되었다.
악성코드가 실행되면 취업과 관련된 PDF 파일을 미끼로 보여 준다.
정확한 타깃은 확인되지 않았지만, 미끼 문서로 볼 때 방위산업체 입사에 관심있는 사람이 대상으로 추정된다.
의문의 Nexaweb 인증서
Nexaweb에서 이전에 사용한 인증서 (일련 번호 : 28ce4d33e7994c2be95816eea5773ed1 )로 서명된 파일들에서는 악성코드가 발견되지 않았다.
악성코드에 서명된 인증서는 다른 파일 서명에 사용되지 않고 악성코드 2개 파일 서명에만 사용되어 실제 Nexaweb 사의 인증서인지 문의했지만 아직 답변을 못 받았다.
IoC
0315e137a6e2d658f07af454c63a0af2
28ce4d33e7994c2be95816eea5773ed1
aa8936431f7bc0fabb0b9efb6ea153f9
73d2899aade924476e58addf26254c2e
28ce4d33e7994c2be95816eea5773ed1
aa8936431f7bc0fabb0b9efb6ea153f9
73d2899aade924476e58addf26254c2e