국내 공공기관의 설치 파일을 위장한 악성코드 (Kimsuky 그룹) - ASEC BLOG 관련 IOC 16개 발견

AhnLab SEcurity intelligence Center(ASEC)에서는 Kimsuky 그룹이 국내 공공기관의 인스톨러로 위장한 악성코드로 Dropper로서 Endoor를 생성한 것을 확인하였다. 실제 공격에 사용된 이력은 확인되지 않았지만, 드로퍼가 생성하는 백도어 악성코드의 공격 사례는 같은 시점에 확인되었다. 공격자는 백도어를 이용해 추가 악성코드를 다운로드하거나 스크린샷을 탈취하는 악성코드를 설치하기도 하였으며, Endoor는 과거부터 스피어피싱 공격으로 유포되는 Nikidoor과 함께 사용되고 있다.

Malware disguised as a domestic public institution (KIMSUKY Group) -ASEC Blog

The Ahnlab Security Intelligence Center (ASEC) confirmed that the KIMSUKY group was disguised as an installer of domestic public institutions and created an endoor as a dropper.Although the history used in the actual attack was not confirmed, the case of the backdoor malware generated by the droofer was confirmed at the same time.The attacker has installed a malicious code to download additional malware or take over screenshots using a backdoor, and Endoor is used with Nikidoor, which is distributed as a spear phishing attack from the past.