PebbleDash와 RDP Wrapper를 악용한 Kimsuky 그룹의 최신 공격 사례 분석
Contents
PebbleDash와 RDP Wrapper를 악용한 Kimsuky 그룹의 최신 공격 사례 분석
개요
AhnLab SEcurity intelligence Center(ASEC)은 Kimsuky 그룹이 최근 다수의 공격 사례에서 PebbleDash와 RDP Wrapper를 사용하는 정황을 확인하였다. 일반적으로 Kimsuky 그룹의 공격 대상은 방위산업, 언론, 외교, 국가기관, 학술 등 다양한 분야를 대상으로 하며 조직의 내부 정보 및 기술 탈취를 목적으로 한다. 그리고 최초 침투를 위해 스피어 피싱 공격을 주로 사용한다. 과거에는 문서형 악성코드를 통해 최초 침투를 수행하였지만 최근 들어 문서 파일을 위장한 LNK 악성코드 공격 사례가 지속적으로 확인되고 있다. 근래에 여러 차례 확인된 Kimsuky 공격은 LNK를 통해 파워쉘 악성코드를 감염 시스템에 설치한다. 파워쉘 악성코드는 작업 스케줄러에 등록된 VBS 악성코드에 의해 지속적으로 실행되면서 공격자가 지정한 추가 페이로드를 다운로드 실행한다. 이때 공격자가 실행하는 추가 악성코드는 대부분의 공격 사례에서 RDP Wrapper가 확인되고 있다. 공격자는 RDP를 활성화하고 백도어 계정을 등록하며 이후 RDP Wrapper를 이용해 원격에서 감염 시스템을 제어한다. 이 과정에서는 자체 제작한 Proxy 악성코드가 함께 사용된다.
2024년 상반기 부터는 RDP Wrapper 사용뿐만 아니라 PebbleDash를 사용하는 사례 또한 확인되고 …
개요
AhnLab SEcurity intelligence Center(ASEC)은 Kimsuky 그룹이 최근 다수의 공격 사례에서 PebbleDash와 RDP Wrapper를 사용하는 정황을 확인하였다. 일반적으로 Kimsuky 그룹의 공격 대상은 방위산업, 언론, 외교, 국가기관, 학술 등 다양한 분야를 대상으로 하며 조직의 내부 정보 및 기술 탈취를 목적으로 한다. 그리고 최초 침투를 위해 스피어 피싱 공격을 주로 사용한다. 과거에는 문서형 악성코드를 통해 최초 침투를 수행하였지만 최근 들어 문서 파일을 위장한 LNK 악성코드 공격 사례가 지속적으로 확인되고 있다. 근래에 여러 차례 확인된 Kimsuky 공격은 LNK를 통해 파워쉘 악성코드를 감염 시스템에 설치한다. 파워쉘 악성코드는 작업 스케줄러에 등록된 VBS 악성코드에 의해 지속적으로 실행되면서 공격자가 지정한 추가 페이로드를 다운로드 실행한다. 이때 공격자가 실행하는 추가 악성코드는 대부분의 공격 사례에서 RDP Wrapper가 확인되고 있다. 공격자는 RDP를 활성화하고 백도어 계정을 등록하며 이후 RDP Wrapper를 이용해 원격에서 감염 시스템을 제어한다. 이 과정에서는 자체 제작한 Proxy 악성코드가 함께 사용된다.
2024년 상반기 부터는 RDP Wrapper 사용뿐만 아니라 PebbleDash를 사용하는 사례 또한 확인되고 …