Home > Àüü±â»ç

ÝÁ APT37 ÇØÄ¿Á¶Á÷, RoKRAT ÆÄÀϸ®½º °ø°Ý... ºÏÇÑ°ü·Ã ¿ø°í »çĪÇß´Ù

ÀÔ·Â : 2024-03-27 18:51
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
ºÏÇÑ°ü·Ã Áú¹®Áö, ¿ø°íÀÚ·á, ¾Èº¸Ä®·³, ±â°í¹®, ¿ù°£Áö µî »çĪ °ø°Ý ¹ß°ß
ZIP ¾ÐÃà ÆÄÀÏ ³»ºÎ¿¡ LNK À¯ÇüÀÇ ¾Ç¼º ÆÄÀÏ ¼û°Ü Àü´Þ
DropBox, pCloud µî Ŭ¶ó¿ìµå ÀúÀå¼Ò¸¦ °ø°Ý °ÅÁ¡À¸·Î ¾Ç¿ë
APT37 ±×·ìÀÇ Áö¼ÓÀûÀÎ RoKRAT ÆÄÀϸ®½º ±â¹Ý °ø°Ý ÁøÇà


[º¸¾È´º½º ±è°æ¾Ö ±âÀÚ] ºÏÇÑÀÇ ÇØÄ¿ Á¶Á÷ APT37ÀÇ °ø°Ý Á¤È²ÀÌ Æ÷ÂøµÅ ÀÌ¿ëÀÚÀÇ °¢º°ÇÑ ÁÖÀÇ°¡ ¿ä±¸µÈ´Ù. À̵éÀº ÁÖ·Î ºÏ ÀαǴÜü, ºÏÇÑ ÃëÀç±âÀÚ, Å»ºÏ¹Î µî ´ëºÏºÐ¾ß Á¾»çÀÚ¸¦ °Ü³ÉÇß´Ù. ºÏÇÑ¿¬±¸´Üü, ºÏÇÑÀÌÅ»ÁֹΠÃʺù°­ÀǸ¦ »çĪÇßÀ¸¸ç ¾Ç¼ºÆÄÀÏÀ» ³ÖÀº ºÏÇÑÃѶ÷ ¾ÐÃàÆÄÀÏ°ú ºÏÇÑÀÌÅ»ÁֹΠÃʺù°­ÀÇ.zip ¾ÐÃàÆÄÀÏÀ» ÷ºÎÇß´Ù.

¡ãAPT37 ±×·ìÀÇ RoKRAT °ø°Ý È帧µµ


Áö´Ï¾ð½º ½ÃÅ¥¸®Æ¼ ¼¾ÅÍ(ÀÌÇÏ GSC)´Â ¡°¼³³¯ ¿¬ÈÞ°¡ ³¡³ª°¡´Â 2024³â 2¿ù 12ÀϺÎÅÍ ´ç¿ù ¸»±îÁö ¼öÇàµÈ ´Ù¼öÀÇ APT37 ¼ÒÇà À§Çù Ä·ÆäÀÎÀ» ½Äº°Çß´Ù¡±¸ç ¡°À̵éÀº ¡â¶óÀڷ罺(Lazarus) ¡â±è¼öÅ°(Kimsuky) ¡âÄÚ´Ï(Konni) µî°ú ÇÔ²² Çѱ¹À» ´ë»óÀ¸·Î ÇÑ ÁÖ¿ä ±¹°¡¹èÈÄ À§Çù ±×·ì Áß Çϳª·Î, APT37Àº ÁÖ·Î ºÏ ÀαǴÜü, ºÏÇÑ ÃëÀç±âÀÚ, Å»ºÏ¹Î µî ÁÖ·Î ´ëºÏºÐ¾ß Á¾»çÀÚ¸¦ °Ü³ÉÇØ Áö¼ÓÀûÀ¸·Î ½ºÇǾîÇÇ½Ì °ø°ÝÀ» ¼öÇà Áß¡±À̶ó°í ¹àÇû´Ù.

GSC´Â ½ÇÁ¦ »ç·Êº° ½ÉÃþ ºÐ¼®À» ÅëÇØ LNK ÆÄÀÏ¿¡ ³»ÀåµÈ PowerShell ¸í·ÉÀÌ Ãʱ⠰ø°Ý¿¡ ²ÙÁØÈ÷ È°¿ëµÆ´Ù´Â »ç½ÇÀ» ¹ß°ßÇß´Ù. ÀÌ´Â À§Çù ÇàÀ§ÀÚ °üÁ¡¿¡¼­ Anti-Virus ŽÁö ȸÇÇ¿¡ ¾î´ÀÁ¤µµ È¿°ú°¡ ÀÔÁõµÆÀ» °ÍÀ̶ó´Â ºÐ¼®ÀÌ´Ù. ´õºÒ¾î ¾ÏȣȭµÈ RoKRAT ¾Ç¼ºÄڵ带 ÆÄÀϸ®½º ±â¹ÝÀ¸·Î ½ÇÇàÇØ ´Ü¸» Á¤º¸¸¦ ¼öÁý ÈÄ Àº¹ÐÈ÷ ÇØ¿Ü Å¬¶ó¿ìµå ¼­¹ö·Î À¯ÃâÇÑ´Ù.

°ø°Ý ½Ã³ª¸®¿À (Attack Scenario)
1~2¿ù ±âÁØ ±¹³»¼­ °¡Àå ¸¹ÀÌ °üÂûµÈ Ãʱâ ħÅõ À¯ÇüÀº ½ºÇǾîÇǽÌÀÌ´Ù. À̸ÞÀÏÀ» ÅëÇÑ °ø°Ý ¼ö¹ýÀº ¿©ÀüÈ÷ È¿°ú°¡ ÁÁ°í, À§Çù ÇàÀ§ÀÚ ÀÔÀå¿¡¼­ °¡¼ººñ ³ôÀº Àü·«ÀÌ´Ù. ºÐ¾ßº° °ø°Ý ´ë»óÀÚ ¼±º°ºÎÅÍ ¸ÂÃãÇü ½Ã³ª¸®¿À ±¸¼º±îÁö ½±°í ºü¸£°Ô Á¢±ÙÇÒ ¼ö ÀÖ´Â Á¡À» ³ë¸° °ÍÀÌ´Ù.

ÀÌ·± °ø°Ý¿¡ ÀÖ¾î ¾Ç¼º ÆÄÀÏ ½ÇÇà À¯µµ´Â ÁÖ¿ä ´Ü¸»¿¡ ƯÁ¤ Anti-Virus Á¦Ç°ÀÌ ¼³Ä¡µÅ ÀÖ´Ù´Â °¡Á¤ÇÏ¿¡ Ãʱ⠰ø°Ý ½Ã³ª¸®¿À°¡ ¼³°èµÈ´Ù. À§Çù ÇàÀ§ÀÚ´Â ÀÌ·¯ÇÑ ÀÏÂ÷ ¹æ¾î¸¦ ȸÇÇÇϱâ À§ÇØ ½Ã±×´Ïó ±â¹Ý ŽÁö ¿ìȸ°¡ °¡´ÉÇϵµ·Ï ÁغñÇÑ´Ù.

¡ã½ºÇǾî ÇÇ½Ì °ø°Ý È­¸é (ÀϺΠºí·¯ ó¸®)


À§Çù ÇàÀ§ÀÚ´Â ¸¶Ä¡ ºÏÇÑ°ü·Ã ¿¬±¸ ºÐ¾ß¿¡ ¼Ò¼ÓµÈ °Íó·³ ½ÅºÐÀ» À§ÀåÇß´Ù. ±× ´ÙÀ½ À̸ÞÀÏ¿¡ ¡®ºÏÇÑÃѶ÷(2011-2023).zip¡¯ ¾ÐÃà ÆÄÀÏÀ» ÷ºÎÇØ ´Ù¿î·Îµå¸¦ À¯µµÇÑ´Ù.

÷ºÎÆÄÀÏÀº À̸ÞÀÏ º»¹® »ó´Ü¿¡ ´ë¿ë·® ¸µÅ© ¹æ½ÄÀÇ Ã·ºÎÆÄÀÏ ÇüÅ·ΠµðÀÚÀÎ ÈÄ »ðÀÔÇß°í, µå·Ó¹Ú½º(DropBox) Ŭ¶ó¿ìµå ÀúÀå¼Ò¸¦ È°¿ëÇß´Ù. À§Çù ÇàÀ§ÀÚ°¡ Á÷Á¢ °¡ÀÔÇØ »ç¿ë ÁßÀÎ °ÍÀ¸·Î º¸ÀδÙ. È­¸é¿¡´Â ±¹³» À̸ÞÀÏ ¼­ºñ½ºÀÇ ´ë¿ë·® ÷ºÎÆÄÀÏ ±â´Éó·³ ´Ù¿î·Îµå ±âÇÑ°ú Ƚ¼ö°¡ Ç¥½ÃµÅ ÀÖÁö¸¸, ½ÇÁ¦ ¼­ºñ½º ³»¿ëó·³ À§ÀåÇÑ ¼ö¹ýÀÌ´Ù.

¾Ç¼ºÆÄÀÏ ºÐ¼®
À̸ÞÀϳ» ¸µÅ© ¹æ½ÄÀ¸·Î ÷ºÎµÈ ¡®북한총람(2011-2023).zip¡¯ ¾ÐÃà ÆÄÀÏÀº º°µµÀÇ ºñ¹Ð¹øÈ£°¡ ¼³Á¤µÅ ÀÖÁö ¾Ê´Ù. À§Çù ÇàÀ§ÀÚµéÀº º¸¾È ŽÁö ȸÇdzª ºÐ¼® ¹æÇØ ¸ñÀûÀ¸·Î ¾ÏÈ£¸¦ ¼³Á¤ÇØ °ø°ÝÇÏ´Â Àü·«µµ »ç¿ëÇÑ´Ù.

¾ÐÃà ÆÄÀÏ¿¡´Â ¡®2023³â ºÏÇÑ10´ë´º½º.pdf¡¯ Á¤»ó ¹®¼­¿Í ¡®General view of North Korea 240226.lnk¡¯ À̸§ÀÇ ¹Ù·Î°¡±â(LNK) ¾Ç¼º ÆÄÀÏÀÌ Á¸ÀçÇÑ´Ù. LNK´Â ÀÌÁß È®ÀåÀÚ¸¦ »ç¿ëÇÏÁö ¾Ê¾Ò°í, PDF ¾ÆÀÌÄÜÀ¸·Î À§ÀåÇß´Ù.

¡ãPDF ¹®¼­·Î À§ÀåµÈ LNK ¾Ç¼ºÆÄÀÏ ¸ð½À


ƯÈ÷ °ø°ÝÀÚ´Â ÀǽÉÀ» ÁÙÀ̱â À§ÇØ Á¤»ó PDF ¹®¼­¸¦ ÇÔ²² Æ÷ÇÔ½ÃÄ×´Ù. Æú´õ ¿É¼Ç¿¡ È®ÀåÀÚ ¼û±â±â°¡ ¼³Á¤µÈ °æ¿ì º¸Åë ¾ÆÀÌÄÜÀ» ÅëÇØ ÆÄÀÏ Á¾·ù¸¦ ±¸º°ÇÑ´Ù. ÇÏÁö¸¸ LNK ¹Ù·Î°¡±â ÆÄÀÏÀº È®ÀåÀÚ¸¦ º¸±â ¾î·Æ±â¿¡ ¾ÆÀÌÄÜ ÁÂÃø ÇÏ´Ü¿¡ Æ÷ÇÔµÈ È­»ìÇ¥¸¦ À¯½ÉÈ÷ »ìÆìºÁ¾ß ÇÑ´Ù.

PDF ¹®¼­¿¡ ¿¬°áµÈ ´Ù¸¥ Reader°¡ ¼³Ä¡µÈ °æ¿ì Á¤»ó PDF ¹®¼­´Â º°µµ ¾ÆÀÌÄÜÀ¸·Î º¸ÀÏ ¼ö ÀÖ´Ù. ÇÏÁö¸¸ ¾Ç¼º LNK ÆÄÀÏÀÇ °æ¿ì ³»ºÎ¿¡ MS Edge À¥ ºê¶ó¿ìÀúÀÇ ¾ÆÀÌÄÜÀ¸·Î ¼³Á¤µÅ ÀÖ¾î ¹Ù²îÁö ¾Ê´Â´Ù.

¡ãEdge ¾ÆÀÌÄÜ ¸®¼Ò½º·Î ¼±ÅÃµÈ LNK ¾Ç¼ºÆÄÀÏ ¸ð½À


ÀÌó·³ ¾ÆÀÌÄÜÀÌ ¼­·Î ´Ù¸£°Ô º¸À̰ųª ÀÛÀº È­»ìÇ¥°¡ Æ÷ÇÔµÈ °æ¿ì¶ó¸é LNK À¯ÇüÀÇ ¾Ç¼º ÆÄÀÏÀ» À°¾ÈÀ¸·Î ±¸ºÐÇØ ³¾ ¼öµµ ÀÖ´Ù.

¸¸¾à APT °ø°Ý µ¿Çâ°ú ±â¼ú¿¡ µû¸¥ °íÀ¯ Ư¼ºÀ» ½ÀµæÇÏ°í ÀÖ´Ù¸é, ÆÄÀÏ ³»ºÎ¿¡ Àº´ÐµÈ Äڵ带 ºÐ¼®Çϱâ Àü¿¡ ¾Ç¼º °¡´É ¿©ºÎ¸¦ ÆÇ´ÜÇÏ´Â ±âÃÊ ÀÚ·á°¡ µÉ ¼ö ÀÖ´Ù.

¡®General view of North Korea 240226.lnk¡¯ ÆÄÀÏ ³»ºÎ¿¡´Â PowerShell ¸í·ÉÀ» Æ÷ÇÔÇÏ°í ÀÖ´Ù. PowerShell ¸í·ÉÀº LNK ÆÄÀÏÀ» Á¤»ó PDF ÆÄÀÏ·Î ±³Ã¼ÇØ Á¤»ó PDF ¹®¼­¸¦ È£ÃâÇÑ´Ù. µû¶ó¼­, LNK ÆÄÀÏÀÌ PDF µîÀÇ ¹®¼­·Î ±³Ã¼µÇ´Â º¯È­ °úÁ¤À» ÀÌ»óÇàÀ§·Î ŽÁöÇØ¾ß ÇÑ´Ù.

¡ãLNK ³»ºÎ¿¡ »ðÀÔµÈ Á¤»ó PDF ¹®¼­ ½ÇÇà ¸ð½À


¾Õ¼­ °ø°Ý Ãʱ⿡ »ç¿ëµÈ ¾ÐÃà ÆÄÀÏ ³»ºÎ¿¡´Â ¡®2023년 북한10대뉴스.pdf¡¯ À̸§ÀÇ ¶Ç ´Ù¸¥ Á¤»ó PDF ¹®¼­¸¦ »ç¿ëÇß´Ù. ÀÌó·³ À§Çù ÇàÀ§ÀÚµéÀº ½ÇÁ¦ Á¸ÀçÇÏ´Â ¹®¼­¸¦ ¾Ç¿ëÇØ °ø°Ý ¹Ì³¢·Î »ç¿ëÇÏ°í ÀÖ´Ù.

¹Ì³¢ ¹®¼­·Î »ç¿ëµÈ ¡®2023년 북한10대뉴스.pdf¡¯ ¹®¼­°¡ ½ÇÇàµÇ¸é ½ÇÁ¦ °ü·Ã ³»¿ëÀÌ ´ã±ä È­¸éÀÌ ³ªÅ¸³­´Ù. °ø°Ý ÀǽÉÀ» ÃÖ´ëÇÑ ÇÇÇϱâ À§ÇØ ½ÇÁ¸ ÀڷḦ µµ¿ëÇØ »ç¿ëÇÏ°í ÀÖ´Ù. ÀÌ·¯ÇÑ ÀÚ·á´Â ÀÎÅͳݿ¡ °ø°³µÈ °ÍÀ» °¡Á®´Ù »ç¿ëÇϰųª ¶Ç´Â ´Ù¸¥ ÇØÅ·µÈ ÇÇÇØÀÚ·Î ºÎÅÍ Å»ÃëÇÑ Á¤º¸¸¦ °ø°Ý¿¡ È°¿ëÇϱ⵵ ÇÑ´Ù.

¡ã2023³â ºÏÇÑ 10´ë´º½º.pdf ½ÇÇàµÈ È­¸é


PowerShell ¸í·ÉÀº LNK ³»ºÎ¿¡ Àº´ÐµÈ Shellcode ¿µ¿ªÀ» È£ÃâÇÑ´Ù. À̶§ ÆÄÀÏ´ÜÀ§ ½Ã±×´Ïó ±â¹ÝÀÇ º¸¾È ŽÁö ȸÇǸ¦ À§ÇØ ÆÄÀϸ®½º(Fileless) Àü·«À» ±¸»çÇÑ´Ù.

À§Çù ÇàÀ§ÀÚ´Â µå·Ó¹Ú½º ÀúÀå¼Ò¿¡ PowerShell ¸í·ÉÀ» ¼û°Ü Àº´Ð¼ºÀ» °­È­Çß´Ù. È£ÃâµÈ ½ºÅ©¸³Æ®´Â ¸Þ¸ð¸® º¸È£ ¼³Á¤À» º¯°æÇÑ´Ù. ¾ÏȣȭµÈ ÇüÅ·Π±¸¼ºµÈ Shellcode ÁýÇÕÀº º¹È£È­ °úÁ¤À» °ÅÄ¡°í, Shellcode ºÎºÐÀÌ ¸Þ¸ð¸® ±â¹ÝÀ¸·Î ½ÇÇàµÅ ÆÄÀÏ ½Ã±×´Ïó ±â¹ÝÀ¸·Î ŽÁö°¡ ¾î·Æ´Ù.

APT37 ±×·ìÀÇ À§Çù È°µ¿ ´ëºÎºÐÀÌ ÆÄÀϸ®½º ±â¹Ý °ø°ÝÀ¸·Î ¼öÇàµÅ Ãʱâ À¯ÀÔ ´ç½Ã ÀÌ»óÇàÀ§¸¦ ½Äº°ÇÏ´Â °ÍÀÌ ¹«¾ùº¸´Ù Áß¿äÇÏ´Ù.

Shellcode ¸í·ÉÀ» ºÐ¼®ÇØ º¸¸é, ¾ÏȣȭµÈ µ¥ÀÌÅ͸¦ ½ÇÇà ÆÄÀÏ·Î º¯È¯ÇÏ°í È£ÃâÇÑ´Ù. º¹È£È­ ·ÎÁ÷ ÇÔ¼ö¸¦ ÅëÇØ LNK ÇÏÀ§ ¿µ¿ª¿¡ Shellcode ºí·Ï°ú ÇÔ²² Àº´ÐµÈ ºÎºÐÀÌ EXE ÆÄÀÏ·Î º¯È¯µÇ°í, ¸Þ¸ð¸® »ó¿¡¼­ ½ÇÇàµÈ´Ù.

¸Þ¸ð¸® »ó¿¡¼­¸¸ ½ÇÇàµÇ´Â ÀÌ ÄÚµå´Â APT37 ±×·ìÀÌ ³»ºÎ ħÅõ ¹× Á¤Âû¿¡ È°¿ëÇÏ´Â RoKRAT ¾Ç¼ºÄÚµå º¯Á¾ÀÌ´Ù. ƯÈ÷ ¾Ç¼ºÄÚµå ³»ºÎ¿¡ ¡®--wwjaughalvncjwiajs--¡¯ ¹®ÀÚ¿­ÀÌ ¹ß°ßµÇ´Â °íÀ¯ÇÑ Æ¯Â¡ÀÌ Àִµ¥, À̹ø º¯Á¾¿¡µµ µ¿ÀÏÇÏ°Ô ¹ß°ßµÆ´Ù. 2023³â 5¿ù 23ÀÏ ¡®Áö´Ï¾ð½º À§Çù ºÐ¼® º¸°í¼­¡¯, ¹Ì±¹ ±¹Åä¾Èº¸ºÎ »êÇϱâ°üÀÎ CISAÀÇ 2020³â 5¿ù 12ÀÏ ¡®MAR-10160323-1.v2¡¯ ºÐ¼® º¸°í¼­ µî¿¡µµ ¾ð±ÞµÈ ¹Ù ÀÖ´Ù. ÀÌó·³ RoKRAT µµ±¸´Â ¿À·¡Àü ºÎÅÍ °è¼Ó È°¿ëµÇ´Â À§Çù ÁöÇ¥·Î Áö¼ÓÀûÀ¸·Î º¯Á¾ÀÌ Á¦À۵ǰí ÀÖ´Ù.

RoKRAT ¼Ò°³
APT37 ±×·ìÀÇ RoKRATÀº 2017³â 4¿ù, ½Ã½ºÄÚ Å»·Î½ºÀÇ ¡®Æú ¶ó½ºÄ«³×·¹½º¡¯ À§Çù ºÐ¼®°¡¿¡ ÀÇÇØ ¼Ò°³µÆ´Ù. ¡®RoK¡¯ ¸í¸í¹ý¿¡ ´ëÇØ ±¸Ã¼ÀûÀ¸·Î °ø°³µÇÁö ¾Ê¾ÒÁö¸¸, Çѱ¹´ë»ó À§Çù º¸°í¼­¶ó´Â Á¡¿¡¼­ ¡®Republic of Korea¡¯ ¾àÀÚÀÏ °ÍÀ¸·Î °üÃøµÇ°í ÀÖ´Ù.

RoKRATÀº ±âº»ÀûÀ¸·Î ¡®System Management BIOS(SMBIOS)¡¯ µîÀ» ÀÌ¿ëÇØ ÀÌ¿ëÀÚ ´Ü¸» Á¤º¸¸¦ ¼öÁýÇÏ°í, À§Çù ÇàÀ§ÀÚ Àǵµ¿Í ¸í·É¿¡ µû¶ó Ãß°¡ ¾Ç¼ºÄÚµå ¼³Ä¡°¡ ÁøÇàµÈ´Ù. ±×¸®°í ¡âÇÇŬ¶ó¿ìµå(pCloud) ¡â¾áµ¦½º(Yandex) ¡â¿øµå¶óÀ̺ê(OneDrive) ¡âµå·Ó¹Ú½º(DropBox) ¡â±¸±Ûµå¶óÀ̺ê(GoogleDrive) µî ÇÕ¹ýÀûÀΠŬ¶ó¿ìµå Ç÷§ÆûÀ» È°¿ëÇϴ Ư¡ÀÌ ÀÖ´Ù.

ƯÈ÷, ´Ü¸»¿¡ Á¸ÀçÇÏ´Â [.XLS] [.DOC] [.PPT] [.TXT] [.M4A] [.AMR] [.PDF] [.HWP] µîÀÇ È®ÀåÀÚ¸¦ °¡Áø ¹®¼­¿Í ÈÞ´ëÆù ³ìÀ½ÆÄÀÏÀ» ¼öÁýÇØ ¸í·ÉÁ¦¾î(C&C) ¼­¹ö·Î À¯ÃâÀ» ½ÃµµÇÑ´Ù. À̹ø »ç·ÊÀÇ RoKRAT ¾Ç¼ºÄÚµå´Â ½ºÀ§½º ¼ÒÀçÀÇ È¸»ç·Î ¾Ë·ÁÁø ¡®ÇÇŬ¶ó¿ìµå (pCloud)¡¯ À̸§ÀÇ ÀúÀå¼Ò¸¦ C&C ÀÎÇÁ¶ó·Î »ç¿ë ÁßÀ̸ç, ²ÙÁØÈ÷ ¾Ç¿ëµÇ´Â Ãß¼¼´Ù.

¡ãºÏÇÑÀÌÅ»ÁֹΠÃʺù°­ÀÇ À§Àå °ø°Ý »ç·Ê(ÀϺΠºí·¯ ó¸®)


ÇÇŬ¶ó¿ìµå Ç÷§ÆûÀÌ RoKRAT È°µ¿ °ÅÁ¡À¸·Î Áö¼Ó ¹ß°ßµÇ°í ÀÖ´Ù. ±â¾÷À̳ª ±â°ü ³»ºÎ¿¡¼­ Á¤½ÄÀ¸·Î »ç¿ëÇϴ Ŭ¶ó¿ìµå ¼­ºñ½º°¡ ¾Æ´Ï¶ó¸é »çÀü¿¡ Á¢±ÙÀ» Á¦ÇÑÇϰųª ¸ð´ÏÅ͸µÇÏ´Â °Íµµ ÁÁÀº ¿¹¹æ¹ý Áß¿¡ Çϳª°¡ µÉ ¼ö ÀÖ´Ù.

À¥¿¡´Â ¿ø°ÝÁ¦¾î ±â´ÉÀÇ ¿ÀǼҽº ±â¹Ý RAT(Remote Administration Tool) Á¾·ù°¡ ´Ù¼ö Á¸ÀçÇÑ´Ù. ÇÏÁö¸¸, RoKRAT ½Ã¸®Áîó·³ Á¤º¸Å»Ãë ¸ñÀûÀ¸·Î °³¹ßµÈ ÀÌÈÄ ÀÌó·³ ¿À·£±â°£ È°µ¿À» À̾´Â Á¾·ù´Â ¼Ò¼ö´Ù.

¾Õ¼­ ±â¼úÇÑ ¹Ù¿Í °°ÀÌ ÇØ´ç À§Çù ÄÉÀ̽º´Â ÇÇŬ¶ó¿ìµå API Token ¹æ½ÄÀ» ÅëÇØ ÇÇÇØÀÚ ´Ü¸» Á¤º¸¸¦ Å»ÃëÇÑ´Ù. À̶§ »ç¿ëµÇ´Â Token °ªÀÇ Userinfo °ª¿¡ ƯÁ¤ À̸ÞÀÏ ÁÖ¼Ò°¡ »ç¿ëµÆ´Ù. ¡®softpower21cs@gmail.com¡¯ G¸ÞÀÏ ÁÖ¼Ò´Â Áö³­ 2023³â Áß¼ø ¶§ºÎÅÍ ÃÖ±Ù±îÁö APT37 Ä·ÆäÀο¡¼­ Áö¼ÓÀûÀ¸·Î ¹ß°ßµÆ´Ù.

2023³â 6¿ù 6ÀÏ º¸°íµÈ APT37 Ä·ÆäÀÎÀÇ °æ¿ì ¡®ºÏÇÑÀÌÅ»ÁֹΠÃʺù°­ÀÇ.zip¡¯ ÆÄÀÏÀÌ ¿øµå¶óÀ̺긦 ÅëÇØ ¹èÆ÷µÈ ÀÌ·ÂÀÌ ÀÖ´Ù. ´ç½Ã ¿øµå¶óÀ̺꿡 ÆÄÀÏÀ» Ãß°¡ÇÑ À̸§Àº ¡®sandoz messi¡¯À̸ç, LNK ¾Ç¼ºÄÚµå´Â ¡®½ºÅ×°¡³ë±×·¡ÇÇ¡¯ ±â¹ýÀ» ÀÌ¿ëÇØ ¡®myphoto2.jpg¡¯ »çÁøó·³ À§ÀåµÈ RoKRAT ÆÄÀÏÀ» ¿øµå¶óÀ̺ê ÅëÇØ È£ÃâµÈ´Ù.

À̶§ ¹ß°ßµÈ RoKRAT ¾Ç¼º ÆÄÀÏÀº ÇÇŬ¶ó¿ìµå ¼­¹ö·Î Åë½ÅÇÏ°í, »ç¿ëµÈ À̸ÞÀÏÀº ¡®softpower21cs@gmail.com¡¯ ÁÖ¼Ò°¡ ¹ß°ßµÆ´Ù. ¶ÇÇÑ, RoKRAT ÆÄÀÏ ³»ºÎ¿¡ ´ÙÀ½°ú °°Àº PDB °æ·Î°¡ ¹ß°ßµÆ´Ù. °ú°Å¿¡ ÀÌ¿Í °ü·ÃµÈ À¯»ç º¯Á¾ÀÌ ´Ù¼ö Á¸ÀçÇÑ´Ù.

¡®DogCall.pdb¡¯ ¹®ÀÚ¿­ÀÌ Æ÷ÇÔµÈ ¹éµµ¾î´Â ¡®MITRE ATT&CK¡¯ ¼ÒÇÁÆ®¿þ¾î Ç׸ñ¿¡ Æ÷ÇԵŠÀÖÀ¸¸ç, 2017³âºÎÅÍ °è¼Ó ¹ß°ßµÈ ¹Ù ÀÖ´Ù.

¡ãÀÎÁõ¿ë À̸ÞÀÏ·Î ¿¬°áµÈ È­¸é


¡®softpower21cs@gmail.com¡¯ À̸ÞÀÏÀº ¡®sandozmessi@gmail.com¡¯ ÁÖ¼ÒÀÇ º¹±¸ °èÁ¤À¸·Î ¿¬°áµÇ¾î ÀÖ´Ù. ¾Õ¼­ ±â¼úÇß´ø ¿øµå¶óÀ̺꿡¼­ ¹ß°ßµÈ ¡®sandoz messi¡¯ À̸§°ú µ¿ÀÏÇÏ´Ù.

ÇÑÆí, 2024³â 1¿ù 26ÀÏ¿¡´Â ¾Èµå·ÎÀ̵å¿ë ¸ð¹ÙÀÏ ½ºÄ«ÀÌÇÁ(Skype) ¸Þ½ÅÀú·Î À§ÀåÇÑ ¾Ç¼º¾Û À¯Æ÷°¡ ½Äº°µÈ ¹Ù ÀÖ´Ù.

¡ã½ºÄ«ÀÌÇÁ ¾Èµå·ÎÀÌµå ¾Û À§Àå È­¸é


±× ´ç½Ã ¡®skype.apk¡¯ ¾Ç¼º¾ÛÀº µå·Ó¹Ú½º ¸µÅ©¸¦ ÅëÇØ Àü´ÞµÆ°í, °ø°Ý¿¡ ¾²ÀΠǥÇö Áß¿¡´Â ¡âÆǺ» ¡âµÇ¿´½À´Ï´Ù ¡â³»¸®ÀûÀç µîÀÌ ¹ß°ßµÆ´Ù. APK ¾Èµå·ÎÀÌµå ¾Ç¼º¾Û ³»ºÎ¿¡¼­ C&C¿ë ÇÇŬ¶ó¿ìµå ÅäÅ«Å°°¡ »ç¿ëµÆ´Ù. ÇØ´ç Ŭ¶ó¿ìµåÀÇ ÀÌ¿ëÀÚ Á¤º¸¿¡¼­ ¡®sandozmessi@gmail.com¡¯ À̸ÞÀÏ ÁÖ¼Ò°¡ È®ÀεƴÙ.

APT37 ±×·ìÀº ´Ù¾çÇÑ Ç÷§Æû ±â¹ÝÀÇ °ø°ÝÀü·«À» °³¹ßÇØ ±¸»çÇÏ°í ÀÖ´Ù. µû¶ó¼­ ¿À·£±â°£ Áö¼ÓÀûÀÎ °üÂû°ú À§Çù ¿¬±¸¸¦ ÅëÇØ ¿¬°á°í¸®¸¦ ½Äº°ÇØ¾ß ÇÑ´Ù.

°á·Ð ¹× ´ëÀÀ¹æ¹ý (Conclusion)
Áö³­ÇØ ÇϹݱâºÎÅÍ ÇöÀç±îÁö Çѱ¹³»¿¡¼­ ¹ß»ýÇÑ ½ºÇǾîÇǽ̿¡ »ç¿ëµÈ ¾Ç¼ºÄÚµå À¯ÇüÀ» ºÐ¼®ÇØ º» °á°ú, LNK ¹Ù·Î°¡±â ±â¹ÝÀÇ °ø°ÝÀÌ °¡Àå µÎµå·¯Á³´Ù.

À§ÇùÀÇ Áö¼Ó¼ºÀÌ À¯ÁöµÈ´Ù´Â Àǹ̴ ±×¸¸Å­ °ø°Ý ROI(ÅõÀÚ´ëºñ È¿°ú) °á°ú°¡ ÁÁ´Ù°í Æò°¡µÈ´Ù. °ø°Ý¿¡ »ç¿ëµÈ LNK ÆÄÀÏÀº ³»ºÎÄÚµå ¹× ¸í·É ÆÐÅÏÀÌ ²ÙÁØÈ÷ ¹Ù²î°í ÀÖ°í, ÆÄÀϸ®½º ±â¼úÀ» µ¿¿øÇØ ½Ã±×´Ïó ŽÁö ȸÇǸ¦ Àû¿ë ÁßÀÌ´Ù.

ÀÌó·³ ÁøÈ­ÇÏ´Â APT °ø°ÝÀ» º¸´Ù È¿°úÀûÀ¸·Î ´ëÀÀÇϱâ À§ÇØ ¾Ë·ÁÁø IoC(ħÇØÁöÇ¥) ½Äº°Àº ¹°·Ð, ´Ü¸» ÀÌ»óÇàÀ§ ŽÁö´ëÀÀÀÌ Áß¿äÇÏ´Ù. Genian EDR ¼Ö·ç¼ÇÀº ´Ü¸»À» ³ë¸° Ç¥Àû °ø°ÝÀÇ À¯ÀÔ´Ü°èºÎÅÍ ÀÌ»óÇàÀ§ È°µ¿À» ŽÁöÇØ ´ëÀÀÀÌ °¡´ÉÇÏ´Ù.

GSC´Â À̹ø º¸°í¼­¿¡ ±â¼úµÈ À§Çù»ç·Ê¸¦ ¹ÙÅÁÀ¸·Î Genian EDR Á¦Ç°ÀÌ ¼³Ä¡µÈ °¡»ó ȯ°æ¿¡¼­ ¸ðÀÇÇØÅ· °úÁ¤À» ¼öÇàÇß´Ù. °ø°Ý ½Ã¹Ä·¹ÀÌ¼Ç °á°ú µ¿ÀÏ ¶Ç´Â À¯»ç À§ÇùÀ» Á¶±â¿¡ ŽÁö¡¤´ëÀÀÇÒ ¼ö ÀÖÀ½À» °ËÁõÇß´Ù.

¡ã¾ÐÃàÇØÁ¦ ÅëÇØ »ý¼ºµÈ LNK ÆÄÀÏÀ» Genian EDR¿¡¼­ ŽÁöÇÑ ¸ð½À


À§Çù ÇàÀ§ÀÚ°¡ À¯Æ÷ÇÑ ZIP ¾ÐÃàÀ» ÇØÁ¦ÇÏ´Â °úÁ¤ºÎÅÍ Àǽɽº·¯¿î LNK ÆÄÀÏÀ» Genian EDRÀÇ XBA ÀÌ»óÇàÀ§ ±ÔÄ¢¿¡¼­ ŽÁöÇÑ´Ù.

PowerShell ¸í·ÉÀº À§Çù ÇàÀ§ÀÚ°¡ »ç¿ëÇÑ µå·Ó¹Ú½º¿¡¼­ ¸í·ÉÀ» ¼ö½ÅÇϴµ¥, ÀÌ ³×Æ®¿öÅ© Á¢¼Ó °úÁ¤µµ Genian EDR ¼­ºñ½º°¡ Á¶±â ŽÁöÇÑ´Ù. À̸¦ ÅëÇØ º¸¾È´ã´çÀÚ´Â ÈÄ¼Ó Á¶Ä¡¸¦ ¼öÇàÇÒ ¼ö ÀÖ´Ù.

RoKRAT ¾Ç¼ºÄÚµå´Â ÆÄÀϸ®½º·Î Àº¹ÐÇÏ°Ô pCloud ¼­¹ö·Î Åë½ÅÀ» ¼öÇàÇÑ´Ù. À̶§µµ Genian EDRÀº PowerShell Ä¿¸Çµå ¶óÀÎ ¹× ³×Æ®¿öÅ© Åë½Å½Ãµµ¸¦ ÀÌ»óÇàÀ§·Î °£ÁÖÇÑ´Ù.

ÀÌ¿Í °°ÀÌ EDR º¸¾È °ü¸®ÀÚ´Â »ç³» ´Ü¸»¿¡ À¯ÀÔµÈ ÃֽŠÀ§ÇùÀ» Á¶±â¿¡ ½Äº°ÇÒ ¼ö ÀÖ´Ù. ±×¸®°í Á¤Ã¥ ¼³Á¤À» ÅëÇØ ÀûÀýÇÑ ´ëÀÀÁ¶Ä¡¸¦ ¼öÇàÇÏ°í, ħÇØ¿ä¼Ò¸¦ ÀÚ¼¼È÷ ÆľÇÇÒ ¼ö ÀÖ´Ù.

±â¾÷ ¹× ±â°üÀÇ º¸¾È°ü¸®ÀÚ´Â EDR ¼Ö·ç¼ÇÀ¸·Î È®º¸ÇÑ °¢Á¾ À̺¥Æ®¿Í ¾ÆƼÆÑÆ® Á¤º¸¸¦ ±â¹ÝÀ¸·Î ¾Ë·ÁÁöÁö ¾ÊÀº À§Çù±îÁö Á¾ÇÕÀûÀ¸·Î ´ëÀÀ¹æ¾ÈÀ» ¼ö¸³ÇÒ ¼ö ÀÖ´Ù. Áö´Ï¾È EDRÀº ´Ü¸»ÀÇ ºÎÆúÎÅÍ Á¾·á±îÁö ¸ðµç I/O Á¤º¸¸¦ ¼öÁýÇÏ°í ½ÇÇà ÇÁ·Î±×·¥ÀÇ µ¿ÀÛ ¹æ½ÄÀ» °¡½Ã¼º ÀÖ°Ô Á¶È¸ÇÒ ¼ö ÀÖ´Ù.

±¹³»¿¡¼­ ¹ß»ýÇÏ´Â APT °ø°ÝÀº °¥¼ö·Ï ±¹ÁöÀûÀ̸ç, Àº¹ÐÈ­µÇ´Â Ãß¼¼´Ù. À§Çè ¼öÀ§µµ °¥¼ö·Ï Ä¿Áö°í ÀÖ´Ù. ³»ºÎ ½Ã½ºÅÛÀ¸·Î À¯ÀÔµÈ ¾Ç¼ºÆÄÀÏ Çϳª°¡ ¿¹±âÄ¡ ¸øÇÑ Ä§ÇØ»ç°í·Î À̾îÁø »ç·Êµµ ¸¹´Ù. ÀÌ·¸µí ÀÛÀº À§Çù¿ä¼Ò Çϳª ³õÄ¡Áö ¾Ê°í ½Äº°ÇÒ ¼ö ÀÖ´Â ´ë¾È Áß¿¡ Çϳª·Î EDR ±â´ÉÀ» Àû±Ø È°¿ëÇØ¾ß ÇÑ´Ù.
[±è°æ¾Ö ±âÀÚ(boan3@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)