얼마 전, Kimsuky 그룹이 한국 공공 기관을 사칭한 형태로 악성코드를 유포하는 것이 확인되었다. 해당 유포와 관련하여 안랩측에서 보고서를 작성해 공개하기도 하였으며 위협 지표를 공유하는 사이트에 관련 지표들이 공유되기도 하였다.
https://asec.ahnlab.com/ko/62117/
국내 공공기관의 설치 파일을 위장한 악성코드 (Kimsuky 그룹) - ASEC BLOG
AhnLab SEcurity intelligence Center(ASEC)에서는 최근 Kimsuky 그룹이 악성코드를 국내 공공기관의 인스톨러로 위장하여 유포한 사실을 확인하였다. 해당 악성코드는 드로퍼(Dropper)로서 과거 “보안 프로그
asec.ahnlab.com
관련해서 개인적으로 운영하고 있는 MISP(Malware Information Sharing Platform) 서버에 타 이벤트와 관련된 지표가 있을지 궁금해서 지표를 엮어봤는데 아래와 같이 관련 지표가 나타났다.
관련 지표는 210[.]16[.]120[.]210 의 IP 주소이다. 최초로 발견된 것은 2023년 12월 30일인 것으로 보여지며 2024년 02월 19일에 나타난 공격에도 사용되었던 것으로 보여진다.
해당 IP는 싱가폴의 IP인 것으로 보여지며 VirusTotal에서 관련된 정보를 찾아보니 BianLian 랜섬웨어와도 연관이 되었었던 것으로 나타났다.
현재 접속은 불가능하지만 BianLian 랜섬웨어 그룹이 공격에 사용했던 서버와 Kimsuky 그룹이 공격에 사용했던 서버가 겹치는 점이 흥미롭다. 두 그룹의 연관성이 있다기보다는 해당 서버가 매우 취약하여 재활용된 것은 아닌가 생각된다.
'Analysis' 카테고리의 다른 글
| 70. North Korea's Phishing mail program (메일전송 프로그람 ver10.0) (0) | 2024.04.23 |
|---|---|
| 69. Kimsuky's lnk malware attack method (0) | 2024.04.15 |
| 67. Xworm V5.2 (0) | 2024.02.29 |
| 66. BianLian ransomware (0) | 2024.02.06 |
| 65. Kimsuky's 트레이딩 스파르타코스 강의안-100불남(2차) (0) | 2024.01.23 |
