RDP를 이용해 감염 시스템을 제어하는 Kimsuky 위협 그룹
Contents
북한의 지원을 받고 있다고 알려진 Kimsuky 위협 그룹은 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행하였으며 2014년 한국의 에너지 기관에 대한 공격을 그리고 2017년 이후에는 한국 외 다른 나라에 대한 공격도 확인되고 있다. [1] 주로 스피어 피싱 공격을 통해 국방, 방위산업, 언론, 외교, 국가기관, 학술 분야를 공격 중이며 조직의 내부 정보 및 기술 탈취를 목적으로 한다. [2]
Kimsuky 위협 그룹이 초기 침투 이후 설치하는 악성코드들로는 주로 감염 시스템을 제어하기 위한 백도어나 감염 시스템에 존재하는 민감한 정보들을 탈취하기 위한 인포스틸러 유형들이다. 공격에는 xRAT(Quasar RAT)과 같은 오픈 소스 기반 악성코드나 자체 제작한 악성코드들이 사용되기도 하지만 정상 도구들을 이용해 감염 시스템을 제어하기도 한다.
Kimsuky 그룹은 공격 과정에서 이러한 악성코드들 외에도 원격 제어를 지원하는 다양한 도구들을 함께 사용하는 것이 특징이다. 원격 제어를 위해 가장 많이 사용하는 방식은 RDP(Remote Desktop Protocol)이며 RDP가 설치되어 있지 않은 환경에는 오픈 소스 도구인 RDP Wrapper를 설치하기도 한다. 이미 설치되어 있거나 설치한 이후에는 RDP 접속을 위해 사용자 계정을 …
Kimsuky 위협 그룹이 초기 침투 이후 설치하는 악성코드들로는 주로 감염 시스템을 제어하기 위한 백도어나 감염 시스템에 존재하는 민감한 정보들을 탈취하기 위한 인포스틸러 유형들이다. 공격에는 xRAT(Quasar RAT)과 같은 오픈 소스 기반 악성코드나 자체 제작한 악성코드들이 사용되기도 하지만 정상 도구들을 이용해 감염 시스템을 제어하기도 한다.
Kimsuky 그룹은 공격 과정에서 이러한 악성코드들 외에도 원격 제어를 지원하는 다양한 도구들을 함께 사용하는 것이 특징이다. 원격 제어를 위해 가장 많이 사용하는 방식은 RDP(Remote Desktop Protocol)이며 RDP가 설치되어 있지 않은 환경에는 오픈 소스 도구인 RDP Wrapper를 설치하기도 한다. 이미 설치되어 있거나 설치한 이후에는 RDP 접속을 위해 사용자 계정을 …
IoC
02804d632675b2a3711e19ef217a2877
0d6717c3fa713c5f5f5cb0539b94b84f
0d691673af913dc0942e55548f6e2e4e
116a71365b83cc38211ccfc8059b363e
2dbe8e89310b42e295bfdf3aad955ba9
5.61.59.53
7313dc4d9d6228e442fc6ef9ba5a1b9a
ad9a3e893abdac7549a7d66ca32142e8
be2f73a637258aa872bdf548daf55336
c8d589ac5c872b12e502ec1fc2fee0c7
http://5.61.59.53:2086
https://onessearth.online/up/upload_dotm.php
https://powsecme.co/up/upload_dotm.php
0d6717c3fa713c5f5f5cb0539b94b84f
0d691673af913dc0942e55548f6e2e4e
116a71365b83cc38211ccfc8059b363e
2dbe8e89310b42e295bfdf3aad955ba9
5.61.59.53
7313dc4d9d6228e442fc6ef9ba5a1b9a
ad9a3e893abdac7549a7d66ca32142e8
be2f73a637258aa872bdf548daf55336
c8d589ac5c872b12e502ec1fc2fee0c7
http://5.61.59.53:2086
https://onessearth.online/up/upload_dotm.php
https://powsecme.co/up/upload_dotm.php