Kimsuky의 BlueKeep 취약점 악용 캠페인(Larva-24005) 분석

Kimsuky Exploits BlueKeep RDP Vulnerability to Breach Systems in South Korea and Japan

 

Kimsuky APT exploited BlueKeep RDP flaw in attacks against South Korea and Japan

Kimsuky APT exploited BlueKeep RDP flaw in attacks against South Korea and Japan

 

RDP and MS Office Vulnerabilities Abused by Kimusky in Targeted Intrusions

RDP and MS Office Vulnerabilities Abused by Kimusky in Targeted Intrusions

 

• 개요
  • 북한 연계 해킹조직 Kimsuky가 Microsoft RDP 서비스의 치명적 취약점(BlueKeep, CVE-2019-0708) 및 Equation Editor 취약점(CVE-2017-11882)을 활용한 사이버 공격 캠페인(Larva-24005)을 전개
  • 해당 공격은 2023년 10월부터 한국의 소프트웨어, 에너지, 금융 분야를 중심으로 시작되었으며 일본, 미국, 중국, 독일, 싱가포르 등 여러 국가로 확산
  • 안랩 ASEC에서 캠페인 실체 확인 및 분석 정보 공개
• 주요 침투 벡터
  • BlueKeep 취약점(CVE-2019-0708)
    • 원격 데스크톱 서비스(RDP)의 원격 코드 실행(RCE) 취약점
    • 인증 없이 악의적 요청을 전송하여 임의 코드 실행 및 시스템 권한 획득 가능
    • 일부 침해 시스템에서 RDP 스캐너가 발견되었으나 실사용 증거는 미확인
  • Equation Editor 취약점(CVE-2017-11882)
    • 악성 문서 첨부된 피싱 메일을 통해 초기 침입
    • MS Office 수식 편집기 취약점을 이용하여 쉘코드 실행
• 공격 흐름 및 설치 악성코드
  • 초기 침입 후 Dropper를 활용해 다음과 같은 악성 도구 설치
    • MySpy: 시스템 정보 수집 기능
    • RDPWrap: RDP 접속 유지 및 설정 변경을 통한 원격 제어 유지
    • KimaLogger, RandomQuery: 키로깅을 통한 사용자 입력 정보 탈취
    • forceCopy: 브라우저 경로 파일 추출 및 키 입력 감시 기능 포함
  • RDPWrapper 도구는 비인가 접근을 위한 시스템 설정을 우회하거나 내장 기능을 변조하여 탐지 회피
• 인프라 및 통신 분석
  • C2(Command and Control) 인프라는 주로 .kr 도메인 사용
  • 예시 URL
    • http[:]//star7[.]kro[.]kr/login/help/show[.]php?_Dom=991
    • http[:]//www[.]sign[.]in[.]mogovernts[.]kro[.]kr/rebin/include[.]php?_sys=7
  • 공격자는 프록시 기반 악성코드도 함께 설치하여 사설망 내부에서도 외부 통신 가능하게 구성
• 타깃 및 확산 현황
  • 한국과 일본 내 민감 산업군 집중 공격
  • 미국, 중국, 독일, 싱가포르, 영국, 캐나다, 베트남, 폴란드 등으로 확산 중
  • Think Tank, 정부기관, 에너지 기업, 금융사, 소프트웨어 기업 등 사이버첩보 수집 목적 대상
• 결론
  • BlueKeep 및 Equation Editor 취약점은 이미 수년 전 패치가 발표된 구형 취약점으로 최신 보안 업데이트의 중요성 재확인
  • 내부망에서도 RDP 접근 설정을 최소화하고, RDPWrap, keylogger 탐지 시나리오에 기반한 EDR 및 SIEM 대응 필요
  • 이메일 보안 시스템(anti-spam), 첨부파일 정밀 분석(Sandbox), 공격지표 기반 사전 차단 체계 수립 권장
  • 퇴행적 취약점 재악용과 사회공학 기반 피싱이 결합된 형태로, 전사적 사용자 보안 인식 교육 병행 필요