lazarusholic

Everyday is lazarus.dayβ

국내 공공기관의 설치 파일을 위장한 악성코드 (Kimsuky 그룹)

2024-03-19, Ahnlab
https://asec.ahnlab.com/ko/62117/
#Kimsuky #Endoor #Nikidoor #AsungSoft

Contents

AhnLab SEcurity intelligence Center(ASEC)에서는 최근 Kimsuky 그룹이 악성코드를 국내 공공기관의 인스톨러로 위장하여 유포한 사실을 확인하였다. 해당 악성코드는 드로퍼(Dropper)로서 과거 “보안 프로그램 설치 과정에서 감염되는 TrollAgent (Kimsuky 그룹)” [1] 게시글에서 다룬 공격에서 사용된 백도어 악성코드인 Endoor를 생성한다.
비록 드로퍼 악성코드가 실제 공격에 사용된 이력은 확인되지 않지만 해당 드로퍼가 생성하는 백도어 악성코드의 공격 사례는 드로퍼 악성코드의 수집일과 유사한 시점에 확인되었다. 공격자는 백도어를 이용해 추가 악성코드를 다운로드하거나 스크린샷을 탈취하는 악성코드를 설치하기도 하였다. Endoor는 이외에도 지속적으로 공격에 사용되고 있는데 과거부터 스피어피싱 공격으로 유포되는 Nikidoor와 함께 사용되었다.
1. 국내 공공기관의 설치 파일로 위장한 드로퍼(Dropper)
드로퍼 악성코드는 국내 특정 공공기관의 설치 파일로 위장하였다. 아이콘을 해당 공공기관의 로고로 사용하였으며 버전 정보나 설치 페이지에서도 관련 키워드를 확인할 수 있다. 참고로 동일한 버전 정보를 갖는 정상 프로그램은 확인되지 않는 것으로 보아 기존 프로그램을 위장한 것이 아니라 단순하게 정상 프로그램으로 보이도록 제작한 것일 수도 있다. 또한 실제 설치 과정에서도 악성코드를 제외하면 정상적으로 설치된 프로그램은 존재하지 않는다.
드로퍼는 버전 정보를 위장한 것뿐만 아니라 국내 업체의 …

IoC

210.16.120.210
7034268d1c52539ea0cd48fd33ae43c4
7beaf468765b2f1f346d43115c894d4b
b74efd8470206a20175d723c14c2e872
b8ffb0b5bc3c66b7f1b0ec5cc4aadafc
f03618281092b02589bca833f674e8a0
http://127.0.0.1:8080/recv
http://210.16.120.210/rdpclip.dat
http://minish.wiki.gd/c.pdf
http://minish.wiki.gd/eng.db
http://minish.wiki.gd/index.php
http://minish.wiki.gd/upload.php
http://ngrok-free.app
https://fitting-discrete-lemur.ngrok-free.app/minish/index.php
https://real-joey-nicely.ngrok-free.app/mir/index.php