ÆäÀ̽ººÏ ¸Þ½ÅÀú·Î °³Àκ° Á¢±Ù ÈÄ °¡º¿î Àλç¿Í ´ëÈ ½ÃÀÛ
ƯÁ¤ ¹®¼ ÆÄÀÏÀÎ °Íó·³ ¼Ó¿© ¾Ç¼º URL ¸µÅ© ÁÖ¼Ò °øÀ¯
¿øµå¶óÀ̺ê Ŭ¶ó¿ìµå ¼ºñ½º¸¦ ÅëÇØ MSC ±â¹Ý À§Çù °üÂû
±è¼öÅ° ±×·ìÀÇ ReconShark À¯»ç ¾Ç¼º ÄÚµå ½Äº°
[º¸¾È´º½º ±è°æ¾Ö ±âÀÚ] ºÏÇÑ ÇØÄ¿Á¶Á÷ ±è¼öÅ°(Kimsuky)°¡ ºÏÇÑÀÎ±ÇºÐ¾ß °øÁ÷ÀÚ ½ÅºÐó·³ À§ÀåÇØ ÆäÀ̽ººÏ ¸Þ½ÅÀú·Î °ø°Ý ´ë»óÀ» ¹°»öÇÑ ÈÄ Á¢±ÙÇØ ¾Ç¼º URL Ŭ¸¯À» À¯µµÇØ °ø°ÝÇÑ Á¤È²ÀÌ Æ÷ÂøµÆ´Ù.
¡ãºÏÇÑ ÇØÄ¿Á¶Á÷ ±è¼öÅ° ±×·ìÀÇ ÆäÀ̽ººÏ ±â¹Ý ReconShark °ø°Ý È帧µµ[À̹ÌÁö=Áö´Ï¾ð½º]
Áö´Ï¾ð½º ½ÃÅ¥¸®Æ¼ ¼¾ÅÍ(ÀÌÇÏ GSC)´Â ¡°±è¼öÅ° APT °ø°Ý ±×·ìÀÌ »õ·Î¿î Àü·«À» µµÀÔÇß´Ù¡±¸ç ¡°À̹ø APT °ø°ÝÀº ÆäÀ̽ººÏ(Facebook) ¼ºñ½º¸¦ Ãʱâ ħÅõ¿¡ È°¿ëÇß´Ù¡±°í ¹àÇû´Ù.
°ø°ÝÀÚ(Threat Actor)´Â Çѱ¹³» ºÏÇÑÀÎ±ÇºÐ¾ß ¼Ò¼Ó °øÁ÷ÀÚó·³ À§ÀåÇß´Ù. °¡Â¥ ½ÅºÐÀÇ ÆäÀ̽ººÏ °èÁ¤À» ¸¸µç ÈÄ, ÁÖ¿ä ´ëºÏ¡¤¾Èº¸¡¤ºÏÇÑÀαǡ¤´ëºÏºÐ¾ß °ü·Ã È°µ¿°¡¿Í Á¾»çÀÚ¸¦ ´ë»óÀ¸·Î ¿Â¶óÀΠģ±¸½Åû°ú Àü¿ë ½ÅÀú·Î Á¢±ÙÇß´Ù.
°ø°Ý ½Ã³ª¸®¿À(Attack Scenario)
À̹ø À§ÇùÀÇ Æ¯Â¡Àº Çѱ¹³» ƯÁ¤ °øÁ÷ÀÚ ÇÁ·ÎÇÊó·³ ¸¸µç °¡Â¥ ÆäÀ̽ººÏ °èÁ¤ µîÀåÀÌ´Ù. ±¹³» ½ÇÁ¸ Àι°ÀÇ ¸íÀǸ¦ µµ¿ëÇØ SNS ±â¹Ý °ø°Ý¿¡ ¾Ç¿ëÇß´Ù.
¡ã°øÁ÷ÀÚ À§Àå ÆäÀ̽ººÏ ȸé°ú ½ÇÁ¦ ¸Þ½ÅÀú °ø°Ý ȸé (ÀϺΠºí·¯ ó¸®)[À̹ÌÁö=Áö´Ï¾ð½º]
Ãʱ⠰³º° Á¢±ÙÀº À̸ÞÀÏ ±â¹ÝÀÇ ½ºÇǾî ÇÇ½Ì °ø°Ý Àü·«°ú À¯»çÇϳª, ÆäÀ̽ººÏ ¸Þ½ÅÀú¸¦ ÅëÇØ »óÈ£ ¼ÒÅëÇÏ°í, ½Å·Úµµ¸¦ ³ôÀ̸ç, APT °ø°ÝÀÌ ³¯·Î °ú°¨ÇØÁö°í ÀÖ´Ù.
°ø°Ý¿¡ È°¿ëµÈ ÆäÀ̽ººÏ ȸ鿡´Â °ø°ø±â°ü¿¡¼ ÂïÀº °ÍÀ¸·Î º¸ÀÌ´Â ¹è°æ »çÁøÀÌ µî·ÏµÅ ÀÖ´Ù. °øÁ÷ÀÚ·Î À§ÀåÇÑ °ø°ÝÀÚ´Â ÀÚ½ÅÀÌ ÀÛ¼ºÇÑ ºñ°ø°³ ¹®¼¸¦ °øÀ¯ÇØ Áִ ôÇϸç, °ø°Ý ´ë»óÀÚÀÇ È¯½ÉÀ» »ê´Ù. ¸Þ½ÅÀú·Î Àü´Þ¹ÞÀº ³»¿ë¿¡ ÇöȤµÈ ÇÇÇØÀÚ¸¦ ¿øµå¶óÀ̺ê(OneDrive) ¸µÅ©·Î À¯µµÇØ ÇÇÇØÀÚ°¡ Á¢¼ÓÇϸé, ÆÄÀÏ ´Ù¿î·Îµå ȸéÀÌ ³ªÅ¸³´Ù.
¡ã½ÇÁ¦ °ø°Ý ´ç½Ã »ç¿ëµÈ ¿øµå¶óÀ̺ê ȸé (ÀϺΠºí·¯ ó¸®)[À̹ÌÁö=Áö´Ï¾ð½º]
ÇØ´ç Ŭ¶ó¿ìµå¿¡ µî·ÏµÈ Á¤º¸¸¦ »ìÆ캸¸é, 2024³â 4¿ù 19ÀÏ ¿ÀÈÄ 5½Ã 48ºÐ¿¡ ¡®Robert Soofer¡¯ °¡ÀÔÀÚ°¡ ¡®My_Essay(prof).msc¡¯ À̸§ÀÇ ÆÄÀÏÀ» µî·ÏÇÑ ³»¿ªÀ» º¼ ¼ö ÀÖ´Ù. Âü°í·Î ÀÌ À̸§Àº Àü ¹Ì±¹¹æºÎÀÇ ÇÙ ¹× ¹Ì»çÀÏ ¹æ¾î Á¤Ã¥´ã´ç Â÷°üº¸¸¦ ¿ªÀÓÇÑ ¡®DR. ROBERT SOOFER¡¯ À̸§°ú µ¿ÀÏÇÏ´Ù.
À̹ø ÄÉÀ̽º´Â ±è¼öÅ° APT Ä·ÆäÀο¡¼ º¸±â µå¹® ÇüÅÂÀÇ °ø°ÝÀ¸·Î, ±âÁ¸¿¡ ³Î¸® ¾Ë·ÁÁöÁö ¾ÊÀº °ø°Ý ü°è¸¦ µµÀÔÇØ Àº¹ÐÈ÷ »ç¿ë ÁßÀÌ´Ù.
À̹ø »ç·Ê¸¦ Á¶»çÇÏ´ø Áß ¸í·ÉÁ¦¾î ¼¹ö°¡ µ¿ÀÏÇÑ À¯»ç °ø°ÝÀÌ ¾Õ¼ ÀϺ»¿¡¼µµ ¹ß°ßµÆ´Ù. Áö³ 4¿ù 5ÀÏ ¡®NZZ_Interview_Kohei Yamamoto.msc¡¯ À̸§ÀÇ ¾Ç¼º ÆÄÀÏÀÌ ±¸±Û¿¡¼ ¿î¿µ ÁßÀÎ ¹ÙÀÌ·¯½ºÅäÅ»(VirusTotal)¿¡ ¾÷·ÎµåµÆ´Ù. °ø°Ý¿¡ ¾²ÀÎ ¹Ì³¢(Decoy) ¹®¼¿¡´Â ¡®Interview by NZZ¡¯ ŸÀÌƲ¿¡ ÇѹÌÀÏ 3±¹ Á¤»óȸ´ã ¹× ¾Èº¸ ºÐ¾ß¿¡ ´ëÇÑ ÀϺ»°ú °ü·ÃµÈ ¿µ¹® ³»¿ëÀÌ ´ã°Ü ÀÖ´Ù.
ƯÈ÷, Èï¹Ì·Î¿î Á¡Àº ÇØ´ç ¾Ç¼º ÆÄÀÏÀÌ ¹ÙÀÌ·¯½ºÅäÅ» ¾÷·Îµå ´ç½Ã ´Ù±¹Àû 60°³ Anti-Malware ½ºÄ³³Ê ÀüºÎ À§Çù¿ä¼Ò¸¦ ŽÁöÇÏÁö ¸øÇß´Ù´Â °ÍÀÌ´Ù. ÀÌ´Â ±âÁ¸¿¡ ¾Ë·ÁÁöÁö ¾ÊÀº ÆÐÅÏÀÌ ½ÇÀü °ø°Ý¿¡ È¿°ú°¡ ³ô´Ù´Â Àǹ̴Ù.
¡ã¡®NZZ_Interview_Kohei Yamamoto.docx¡¯ ¹®¼ ³»¿ë[À̹ÌÁö=Áö´Ï¾ð½º]
GSC´Â ¡®NZZ_Interview_Kohei Yamamoto.msc¡¯ ¾Ç¼º ÆÄÀÏÀÌ ½ÇÇàµÇ¸é º¸¿©Áö´Â ¹Ì³¢¿ë ¡®NZZ_Interview_Kohei Yamamoto.docx¡¯ Á¤»ó ¹®¼ ³»¿ëÀÌ ÀÖ´Ù. ÀϺ»¿¡¼ ½Äº°µÈ »ç·Ê°¡ Çѱ¹Ã³·³ ÆäÀ̽ººÏ ¸Þ½ÅÀú·Î À¯Æ÷µÈ °ÍÀÎÁö ¸íÈ®ÇÏÁö ¾ÊÁö¸¸, Çѱ¹°ú ÀϺ»À» »ó´ë·Î ÇÑ APT °ø°ÝÀÌ Àº¹ÐÈ÷ ÁøÇà ÁßÀÎ °ÍÀº ºÐ¸íÇÏ´Ù.
¡ãÇѱ¹°ú ÀϺ»¿¡¼ È®ÀÎµÈ ¾Ç¼º ÆÄÀÏ ½ÇÇà È¸é ºñ±³[À̹ÌÁö=Áö´Ï¾ð½º]
ÀϺ»À» ³ë¸° °ø°ÝÀÌ ¸ÕÀú °üÂûµÇ°í, ¾ó¸¶ Áö³ªÁö ¾Ê¾Æ ´Ù½Ã Çѱ¹¿¡¼ º¯Á¾ÀÌ Æ÷ÂøµÈ °æ¿ì´Â À̹øÀÌ Ã³À½ÀÌ´Ù. µÎ °³ÀÇ ¾Ç¼ºÆÄÀÏ ½ÇÇà ȸéÀ» ºñ±³ÇÏ¸é ½ÇÇàÀ» À¯µµÇÏ´Â ÆÄÀϸíÀº ´Ù¸£Áö¸¸, ¾çÂÊ ¸ðµÎ ¡®Security Mode¡¯ ¸íĪÀ» »ç¿ëÇØ µ¿ÀÏÇÑ ÆÐÅÏÀ» º¼ ¼ö ÀÖ´Ù.
¾Ç¼º ÆÄÀÏ ºÐ¼® (Malware Analysis)
º¸Åë À©µµ¿ì ¿î¿µÃ¼Á¦ ±âº» ¼³Á¤Àº È®ÀåÀÚ°¡ º¸ÀÌÁö ¾Êµµ·Ï ±¸¼ºµÅ ÀÖ´Ù. À̸¦ ³ë¸° °ø°ÝÀڴ¿øµå¶óÀ̺꿡 µî·ÏµÈ ¡®My_Essay(prof).msc(ÀÌÇÏ ¾Ç¼ºÆÄÀÏ)¡¯ ÆÄÀÏÀ» ´Ù¿î·ÎµåÇϸé MS Office Á¦Ç° ¼³Ä¡¿Í ÇÔ²² È®ÀåÀÚ¸¦ ¼û±â°í ¾ÆÀÌÄܸ¸ º¸°í ¹®¼·Î º¸À̵µ·Ï ÇØ ÀÌ¿ëÀÚ¸¦ ¼Ó¿´´Ù. ¾Ç¼ºÆÄÀÏÀº XML(eXtensible Markup Language) ¾ð¾î ±¸Á¶·Î Á¶°Ç ¼³Á¤À» ÅëÇØ MS Word ¾ÆÀÌÄÜó·³ º¸ÀÌ°Ô ±¸¼ºÇÒ ¼ö ÀÖ´Ù. °ø°ÝÀÚ°¡ ÀÌÁ¡À» ¾Ç¿ëÇÑ °ÍÀÌ´Ù.
¡ã¡®My_Essay(prof).msc¡¯ ÆÄÀÏ ´Ù¿î·Îµå ȸé[À̹ÌÁö=Áö´Ï¾ð½º]
¾Ç¼º ÆÄÀÏ(msc)Àº ÀÛ¾÷ âÀ» ¡®Security Mode¡¯ À̸§À¸·Î ÁöÁ¤ÇØ ¸¶Ä¡ º¸¾È ±â´ÉÀÇ ¹®¼ ½ÇÇà ȸéó·³ ¼Ó¿© ÀÌ¿ëÀÚ¸¦ ¾È½É½ÃÄ×´Ù. msc ¿¬°á ÇÁ·Î±×·¥ ¡®Microsoft Management Console (mmc.exe)¡¯ ½ÇÇàÀ» Çã¿ëÇÏ¸é ¡®My_Essay¡¯ À̸§ÀÇ °ü¸® ÄÜ¼Ö È¸éÀÌ ³ªÅ¸³´Ù. ³»ºÎ¿¡ ¼³Á¤µÈ ¾Ç¼º ¸í·ÉÀÌ ½ÇÇàµÇ¸é, C&C È£½ºÆ® ÁÖ¼Ò·Î Á¢¼ÓÀ» ½ÃµµÇÑ´Ù. ÇØ´ç µµ¸ÞÀÎÀº ÀεµÀÇ whiteserver È£½ºÆà ¾÷ü¿¡ µî·ÏµÈ °÷À̸ç, IPÁÖ¼Ò´Â µ¶ÀÏÀÌ´Ù.
¡ãmsc ½ÇÇà ÈÄ º¸¿©Áö´Â °ü¸® ÄÜ¼Ö È¸é[À̹ÌÁö=Áö´Ï¾ð½º]
¡®warm.vbs¡¯ ÆÄÀÏÀº ÀÛ¾÷ ½ºÄÉÁÙ ¸í·É¿¡ µû¶ó Áö¼Ó¼ºÀ» À¯ÁöÇÏ°í ¼±º°Àû °ø°Ý ¸í·ÉÀ» ¼öÇàÇÑ´Ù. ¸í·ÉÁÙÀ» ÅëÇØ C&C¿¡ Á¸ÀçÇÏ´Â VBScript ¾ð¾î·Î ±¸¼ºµÈ ¿ø°Ý ½ºÅ©¸³Æ®¸¦ È£ÃâÇÑ´Ù. ±× ´ÙÀ½ À©µµ¿ì °ü¸® µµ±¸ WMI(Windows Management Instrumentation) ¸í·ÉÀ» ÅëÇØ ´Ü¸»ÀÇ ¹èÅ͸®(Battery), ÇÁ·Î¼¼½º(Process) Á¤º¸¸¦ ¼öÁýÇÏ°í, ¼öÁýµÈ Á¤º¸´Â C&C ¼¹ö·Î Àü¼ÛµÈ´Ù.
¡ãwarm.vbs ¾Ç¼º ÆÄÀÏ »ý¼º ȸé[À̹ÌÁö=Áö´Ï¾ð½º]
msc, vbs ¾Ç¼º ÆÄÀÏÀº °¢°¢ ÄÚµå À¯Çü°ú C&C µµ¸ÞÀÎÀÌ ´Ù¸£°Ô ¾²¿´Áö¸¸, À¯»ç º¯Á¾ ¹üÁÖ¿¡ ¼ÓÇÑ´Ù. ƯÈ÷ µµ¸ÞÀÎÀº °°Àº IP ´ë¿ª¿¡ Æ÷ÇԵȴÙ. vbs À¯ÇüÀÇ ¾Ç¼º ÆÄÀÏÀº ¹ÙÀÌ·¯½ºÅäÅ» ÅÚ·¹¸ÞÆ®¸® ±âÁØ 2024-04-18 21:28:53 (UTC) ¹Ì±¹¿¡¼ °¡Àå ¸ÕÀú ¾÷·ÎµåµÆ°í, ¾à 10ºÐ ÈÄ Çѱ¹¿¡¼ Ãß°¡ µî·ÏµÆ´Ù.
¡®d.php¡¯ ºÐ¼® (¡®d.php¡¯ analysis)
À̹ø »ç·Ê¿Í µ¿ÀÏÇÑ °ø°ÝÀÚ ¼ÒÇàÀÇ C&C ¼¹öÁ¤º¸ ºÐ¼® °á°ú, ¡®d.php¡¯ ÆÄÀÏÀº Á¢±ÙÇÑ ¹æ¹®ÀÚÀÇ IP ÁÖ¼Ò, ½Ã°£, ³¯Â¥, User-Agent µîÀ» ¼öÁýÇÏ°í, Á¶°Ç¿¡ µû¶ó Ãß°¡ ÆäÀ̷ε带 È£ÃâÇÏ°í °ø°Ý Àǵµ¿¡ µû¶ó °³º° ¸í·ÉÀ» Àü´ÞÇÑ´Ù. ¸¶Áö¸·¿¡´Â ¸í·ÉÀ» Ãâ·ÂÇϱ⵵ ÇÑ´Ù.
°á·Ð ¹× ´ëÀÀ¹æ¹ý (Conclusion)
¿ÃÇØ 1ºÐ±â Çѱ¹³» º¸°íµÈ APT °ø°Ý Áß °¡Àå ´ëÇ¥ÀûÀÎ ¹æ½ÄÀº ½ºÇǾî ÇÇ½Ì °ø°ÝÀÌ´Ù. ´õºÒ¾î ¹Ù·Î°¡±â(LNK) À¯ÇüÀÇ ¾Ç¼º ÆÄÀÏÀ» °áÇÕÇÑ ¹æ½ÄÀº ²ÙÁØÈ÷ ¼ºÇàÇÏ°í ÀÖ´Ù. »Ó¸¸ ¾Æ´Ï¶ó ¼Ò¼È¹Ìµð¾î¸¦ ÅëÇÑ Àº¹ÐÇÑ °ø°Ýµµ ¹ß»ýÇÏ°í ÀÖ´Ù. 1:1 °³ÀÎÈµÈ °ø°Ý ÁøÇàÀÌ´Ù º¸´Ï, º¸¾È ¸ð´ÏÅ͸µ¿¡ ½±°Ô Æ÷ÂøµÇ±â ¾î·Á¿î Ư¼ºÀÌ ÀÖ´Ù. °ø°ÝÀÚ°¡ ´Ü¸»ÀÇ Anti-Virus ȸÇÇ Àü·«À» °ÈÇÏ°í Àֱ⠶§¹®ÀÌ´Ù. ÇÇÇØÀÚ°¡ ÀÎÁöÇصµ ¿ÜºÎ¿¡ ½Å°íµÇ´Â °æ¿ì´Â µå¹® ÆíÀÌ´Ù.
Çѱ¹°ú ÀϺ»À» »ó´ë·Î ÁøÇàµÈ °ÍÀ¸·Î º¸ÀÌ´Â À̹ø APT °ø°ÝÀº À̸¥¹Ù ¡®BabyShark¡¯, ¡®ReconShark¡¯ À̸§ÀÇ À§Çù Ä·ÆäÀÎÀ¸·Î ±è¼öÅ° ±×·ìÀÌ ¹èÈÄ¿¡ ÀÖ´Â °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖ´Ù. µû¶ó¼ ÀÌ·¯ÇÑ ¸ÂÃãÇü À§ÇùÀº Ãʱ⠴ܰ迡¼ ŽÁö°¡ ¸Å¿ì Áß¿äÇÏ´Ù.
APT °ø°ÝÀÌ ³ª³¯ÀÌ ±¹Áöȵǰí ÀÖ¾î, ½Ã±×´Ïó ±â¹ÝÀÇ 1Â÷ ¹æ¾î¼±ÀÌ ¹«·Â鵃 °æ¿ì¸¦ ´ëºñÇØ º¸¾È °ü¸®ÀÚ´Â ÇàÀ§±â¹Ý ÀÌ»óÇàÀ§¸¦ ŽÁöÇÏ´Â Àü¹®ÈµÈ º¸¾È ¼Ö·ç¼ÇÀ» È°¿ëÇØ ½Å¼ÓÈ÷ ´ëÀÀÇÏ´Â °Ô ¹Ù¶÷Á÷ÇÏ´Ù.
[±è°æ¾Ö ±âÀÚ(boan3@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>