lazarusholic

Everyday is lazarus.dayβ

RDP Wrapper를 활용한 Kimsuky 그룹의 지속적인 위협

2025-02-04, Ahnlab
https://asec.ahnlab.com/ko/86082/
#Kimsuky #LNK

Contents

RDP Wrapper를 활용한 Kimsuky 그룹의 지속적인 위협
AhnLab SEcurity intelligence Center(ASEC)은 과거 “PebbleDash와 RDP Wrapper를 악용한 Kimsuky 그룹의 최신 공격 사례 분석” [1] 보고서를 통해 PebbleDash 백도어와 자체 제작한 RDP Wrapper를 활용하는 Kimsuky 그룹의 공격 사례를 공개한 바 있다. Kimsuky 그룹은 최근까지도 동일한 유형의 공격을 지속적으로 수행하고 있으며 여기에서는 추가적으로 확인된 악성코드들을 정리한다.
1. 개요
공격자는 스피어 피싱 공격으로 악성 명령어가 포함된 바로 가기(*.LNK) 파일을 유포하고 있으며 파일명에 이름이나 회사명들이 포함된 것을 보면 구체적인 공격 대상에 대한 정보를 파악하고 있는 것으로 보인다.
바로 가기 악성코드들은 문서 파일로 위장하기 위해 PDF나 엑셀, 워드 등 오피스 문서 아이콘을 지니고 있다. 이를 실행하면 PowerShell 또는 Mshta가 실행되어 외부에서 추가 페이로드를 다운로드해 실행한다. 감염 시스템을 제어하기 위해 최종적으로 실행되는 악성코드들로는 PebbleDash와 RDP Wrapper가 있다. 공격자는 최근까지도 PebbleDash와 RDP Wrapper를 제작해 유포하고 있지만 이전 공격 사례들과 비교하여 눈에 띄는 차이점은 존재하지 않는다.
Figure 1. PebbleDash 드로퍼를 설치하는 파워쉘 프로세스
참고로 RDP Wrapper는 원격 데스크톱 기능을 지원하는 오픈 소스 유틸리티로서 윈도우 운영체제는 …