Meterpreter를 이용해 웹 서버를 공격하는 Kimsuky 그룹
Contents
AhnLab Security Emergency response Center(ASEC)에서는 최근 Kimsuky (김수키) 공격 그룹이 웹 서버를 대상으로 악성코드를 유포하고 있는 것을 확인하였다. Kimsuky는 북한의 지원을 받고 있다고 확인되는 위협 그룹으로 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행했으며 2014년 한국의 에너지 기관에 대한 공격을 진행했으며 2017년 이후 한국 외 다른 나라에 대한 공격도 진행하고 있다. [1]
ASEC에서는 블로그를 통해 Kimsuky 그룹의 다양한 공격 사례들을 분석하여 공개하고 있으며, 주로 메일에 MS 오피스 문서 파일이나 [2] 원노트 [3], CHM[4]과 같은 악성 파일들을 첨부하는 방식의 스피어 피싱 공격을 다루었다. Kimsuky 그룹의 공격 사례는 주로 이러한 스피어 피싱과 같은 사회공학적 공격 방식이 사용되지만 여기에서는 웹 서버를 대상으로 하는 공격 사례를 다룬다. Kimsuky는 공격에 성공한 이후 메타스플로잇 미터프리터(Metasploit Meterpreter) 백도어 악성코드를 설치하였으며, 이외에도 Go 언어로 개발된 프록시 악성코드를 설치한 이력도 확인된다.
1. IIS 웹 서버 대상 공격 사례
공격 대상이 된 곳은 국내 건축사무소의 윈도우 IIS 웹 서버로서 취약점이 패치되지 않았거나 부적절하게 관리되고 있는 것으로 추정된다. 공격자는 IIS …
ASEC에서는 블로그를 통해 Kimsuky 그룹의 다양한 공격 사례들을 분석하여 공개하고 있으며, 주로 메일에 MS 오피스 문서 파일이나 [2] 원노트 [3], CHM[4]과 같은 악성 파일들을 첨부하는 방식의 스피어 피싱 공격을 다루었다. Kimsuky 그룹의 공격 사례는 주로 이러한 스피어 피싱과 같은 사회공학적 공격 방식이 사용되지만 여기에서는 웹 서버를 대상으로 하는 공격 사례를 다룬다. Kimsuky는 공격에 성공한 이후 메타스플로잇 미터프리터(Metasploit Meterpreter) 백도어 악성코드를 설치하였으며, 이외에도 Go 언어로 개발된 프록시 악성코드를 설치한 이력도 확인된다.
1. IIS 웹 서버 대상 공격 사례
공격 대상이 된 곳은 국내 건축사무소의 윈도우 IIS 웹 서버로서 취약점이 패치되지 않았거나 부적절하게 관리되고 있는 것으로 추정된다. 공격자는 IIS …
IoC
000130a373ea4085b87b97a0c7000c86
45.58.52.82
6b2062e61bcb46ce5ff19b329ce31b03
http://45.58.52.82/cl.exe
http://45.58.52.82/up.dat
http://45.58.52.82:8443
45.58.52.82
6b2062e61bcb46ce5ff19b329ce31b03
http://45.58.52.82/cl.exe
http://45.58.52.82/up.dat
http://45.58.52.82:8443