Home > Àüü±â»ç

Áß±¹ÀÇ APT10, »õ·Î¿î ·Î´õ µé°í µ¿³²¾Æ ±¹°¡µé °ø°Ý ½ÃÀÛ

ÀÔ·Â : 2019-05-28 15:46
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
4¿ùºÎÅÍ ½ÃÀÛµÈ Ä·ÆäÀÎ, ÁÖ·Î µ¿³²¾Æ ±¹°¡ÀÇ ¿©·¯ ±â°üµéÀÌ ÇÇÇØ ÀÔ¾î
»õ·Î¿î ·Î´õ µîÀ塦µÎ °¡Áö ¹æ¹ýÀ¸·Î Áö¼Ó¼º È®º¸ÇÑ µÚ ÃÖÁ¾ ÆäÀÌ·Îµå ½É¾î


[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] Áß±¹¾î¸¦ ±¸»çÇÏ´Â »çÀ̹ö º¸¾È ´ÜüÀÎ APT10ÀÌ ÃÖ±Ù ´Ù¸¥ ¸Ö¿þ¾î¸¦ ÀÚ½ÅÀÇ ¹«±â°í¿¡ ÆíÀÔ½ÃŲ °ÍÀ¸·Î º¸ÀδÙ. ¸Ö¿þ¾î ·Î´õ º¯Á¾ µÎ °¡Áö·Î, ¿©Å±îÁö ÇÑ ¹øµµ ¹ß°ßµÈ ÀûÀÌ ¾ø´Â °ÍÀ̶ó°í ÇÑ´Ù. ÀÌ »õ·Î¿î ¹«±âµéÀº Áö³­ 4¿ù µ¿³²¾Æ ±¹°¡µéÀ» °ø°ÝÇÏ´Â µ¥ »ç¿ëµÆ´Ù.

[À̹ÌÁö = iclickart]


APT10ÀÇ È°µ¿À» ÁöÄѺ¸°í ÃßÀûÇÑ °Ç º¸¾È ¾÷ü ¿£½Ç·Î(enSilo)´Ù. ¡°ÀÌÀü °ø°Ý¿¡ »ç¿ëµÆ´ø ÆäÀ̷εå¿Í ÇÑ ¹øµµ º»Àû ¾ø´ø ·Î´õ°¡ ¹ß°ßµÇ±âµµ Çß½À´Ï´Ù. ÀüüÀûÀÎ Àü·«À̳ª ±â¼ú, °ø°Ý ¼ø¼­´Â ¹°·Ð °ø°Ý¿¡ »ç¿ëµÈ ¿©·¯ ÄÚµåµé¿¡¼­ APT10ÀÇ °ú°Å ¸ð½ÀÀÌ ¸¹ÀÌ ¹ß°ßµÇ¾î »õ·Î¿î ·Î´õ°¡ ³ªÅ¸³µ´Ù°í Çصµ APT10À» ÀǽÉÇÒ ¼ö ÀÖ¾ú½À´Ï´Ù.¡± ¿£½Ç·ÎÀÇ º¸¾È Àü¹®°¡ º¥ ÇåÅÍ(Ben Hunter)ÀÇ ¼³¸íÀÌ´Ù.

»õ·Ó°Ô ³ªÅ¸³­ ·Î´õ´Â µÎ °¡ÁöÀε¥, ¡°µÑ ´Ù JVMÀ» ±â¹ÝÀ¸·Î ÇÑ ÀÚ¹Ù½ºÅ©¸³Æ® ¿£Áø(jjs.exe)À» µå·Ó½ÃÅ°´Â ±â´ÉÀ» °¡Áö°í ÀÖ´Ù¡±°í ÇÑ´Ù. ±×·± ÈÄ¿¡´Â DLL »çÀ̵å·Îµù(DLL side-loading)À̶ó´Â ±â¹ýÀ» ÅëÇØ 2Â÷ÀûÀÎ °ø°ÝÀÌ ½ÃÀ۵ȴÙ. ¡°DLL »çÀ̵å·Îµù ±â¹ýÀ» »ç¿ëÇØ ÀÌ ·Î´õµéÀÌ ¾Ç¼º ÆäÀ̷ε带 ½Ç¾î¿Àµµ·Ï ÇÏ´Â °Ì´Ï´Ù. ÀúÈñ°¡ ¹ß°ßÇÑ »ùÇÃÀÇ °æ¿ì Ç÷¯±×¿¢½º(PlugX)¿Í Äõ»ç·§(Quasar RAT)ÀÌ ÁÖ¿ä ¾Ç¼º ÆäÀ̷ε忴½À´Ï´Ù.¡±

ÇåÅÍÀÇ º¸´Ù ±¸Ã¼ÀûÀÎ ¼³¸íÀº ´ÙÀ½°ú °°ÀÌ À̾îÁø´Ù. ¡°·Î´õ´Â Á¤»óÀûÀÎ ½ÇÇàÆÄÀÏÀ» ½ÇÇà½Ãų ¶§ ¹ßµ¿µË´Ï´Ù. Áï °ø°ÝÀÚµéÀÌ Á¤»óÀûÀÎ ½ÇÇàÆÄÀÏ°ú ÇÁ·Î¼¼½º¸¦ ³²¿ëÇØ ¾Ç¼º DLLÀ» Á¤»ó DLL ´ë½Å ·Îµù½ÃÅ°´Â ¹æ¹ýÀ» ±¸»çÇÑ °ÍÀÔ´Ï´Ù.¡± ¿©±â¼­ ¾ð±ÞµÇ´Â ¾Ç¼º DLLÀº jli.dll·Î, µ¥ÀÌÅÍ ÆÄÀÏÀÎ svchost.binÀ» ¸Þ¸ð¸®¿¡ ¸ÅÇνÃŲ ÈÄ¿¡ º¹È£È­¸¦ ÁøÇàÇÑ´Ù. º¹È£È­°¡ ¿Ï¼ºµÈ ÄÜÅÙÃ÷´Â ¼ÐÄÚµå·Î, svchost.exe¿¡ ÁÖÀԵȴÙ. ÀÌ ¼ÐÄڵ尡 ¹Ù·Î ½ÇÁ¦ ¾Ç¼º ÆäÀ̷εå´Ù.

±×·± ÈÄ µÎ °¡Áö ·Î´õ´Â °¢±â ´Ù¸¥ ±æÀ» °¡±â ½ÃÀÛÇÑ´Ù. ù ¹ø°´Â svchost.exe¸¦ »ç¿ëÇØ °ø°ÝÀ» Áö¼Ó½ÃÅ°±â À§ÇÑ ¹ßÆÇÀ» ¸¶·ÃÇÑ´Ù. ¡°ÀÚ±â ÀÚ½Å(jjs.exe)À» ÇÁ·Î¼¼½º ¾È¿¡ ÁÖÀÔ½ÃÅ°°í ¹ßµ¿½ÃÅ°ÁÒ. svchost.exe¶ó´Â ÇÁ·Î¼¼½º·Î °è¼ÓÇؼ­ º¹È£È­¿Í ÁÖÀÔÀ» ¹Ýº¹ÇÕ´Ï´Ù.¡±

µÎ ¹ø° ·Î´õ ¿ª½Ã °ø°Ý Áö¼Ó¼ºÀ» ¸¶·ÃÇÏ´Â °ÍÀ» ±âº» ¸ñÀûÀ¸·Î Çϴµ¥, ¹æ¹ýÀÌ Á¶±Ý ´Ù¸£´Ù. ¡°À©µµ¿ì ¾÷µ¥ÀÌÅÍ(Windows Updata)¶ó´Â À̸§À¸·Î ÇöÀç »ç¿ëÀÚÀÇ ·±(Run) ·¹Áö½ºÆ®¸® Å°¸¦ ³²¿ëÇÏ´Â °ÍÀÔ´Ï´Ù. ±×·± ÈÄ¿¡ conhost.exe¶ó´Â ½ÇÇàÆÄÀÏÀ» ´Ù¿î·Îµå ÇÏ°í ½ÇÇà½Ãŵ´Ï´Ù. ´å³Ý(.NET)À¸·Î ÀÛ¼ºµÈ ´Ù¿î·Î´õ·Î, Á¤»ó ½Ã½ºÅÛ ½ÇÇàÆÄÀÏ·Î À§ÀåµÇ¾î ÀÖ½À´Ï´Ù.¡±

ÃÖÁ¾ ÆäÀ̷εå
µÎ °¡Áö ±æÀ» °È´Â ·Î´õµéÀÌ ÃÖÈÄ¿¡ °¡Á®¿À´Â ÆäÀ̷εå´Â Ç÷¯±×¿¢½º(PlugX)¿Í Äõ»ç·§(Quasar RAT)ÀÌ´Ù. Ç÷¯±×¿¢½º´Â 2012³â¿¡ óÀ½ ¹ß°ßµÈ °ÍÀ¸·Î, ´ç½Ã Á¤ºÎ °ü·Ã ±â°üµéÀ» Ç¥ÀûÀ¸·Î È°µ¿ÇÏ´ø ´ÜüµéÀÌ ¸¹ÀÌ »ç¿ëÇß¾ú´Ù. ¿ø°ÝÀÇ »ç¿ëÀÚ°¡ µ¥ÀÌÅÍ Å»Ãë ¹× ½Ã½ºÅÛ Àå¾ÇÀ» ÇÒ ¼ö ÀÖ°Ô ÇØÁÖ´Â ¸Ö¿þ¾î·Î, ÆÄÀÏÀÇ º¹»ç, À̵¿, À̸§ ¹Ù²Ù±â, ½ÇÇà, »èÁ¦°¡ °¡´ÉÇß´Ù. Å°½ºÆ®·ÎÅ© ·Î±ë°ú ½Ã½ºÅÛÀÇ ÇΰÅÇÁ¸°Æà µîµµ °¡´ÉÇß´Ù.

Äõ»ç·§ÀÇ °æ¿ì À©µµ¿ì¿ë Á¤»ó ¿ø°Ý °ü¸® ÅøÀ» ±âº» ¹ÙÅÁÀ¸·Î ÇÏ°í ÀÖ´Ù. ÇÏÁö¸¸ ¾ÇÀÇÀûÀÎ ¸ñÀûÀ¸·Î »ç¿ëµÇ´Â °æ¿ì°¡ ¸¹´Ù. Å°·Î±ë, µµÃ», µ¥ÀÌÅÍ ¾÷·Îµù, ÄÚµå ´Ù¿î·Îµù µî °¢Á¾ ±â´ÉÀ» ¹ßÈÖÇÒ ¼ö Àֱ⠶§¹®¿¡ °ø°ÝÀÚµéÀÇ Çʿ並 Àß ÃæÁ·½ÃŲ´Ù´Â ¸éµµ ÀÖ´Ù.

APT10ÀÌ ÃÖ±Ù¿¡ »ç¿ëÇÑ ¹öÀüÀÇ Ç÷¯±×¿¢½º´Â ÀÌÀü ¹öÀü°ú ¸¶Âù°¡Áö·Î ½Ã½ºÅÛ Á¤º¸¸¦ ¼öÁýÇÏ´Â °ÍÀ» ÁÖ¿ä ¸ñÀûÀ¸·Î ÇÏ°í ÀÖ´Ù. ÄÄÇ»ÅÍ À̸§, »ç¿ëÀÚ À̸§, OS ¹öÀü, RAM »ç¿ë ÇöȲ, ³×Æ®¿öÅ© ÀÎÅÍÆäÀ̽º, ÀÚ¿ø µîÀÌ Á¶»çµÈ´Ù. ¶ÇÇÑ ÆĶó³ëÀ̵å Ç÷¯±×¿¢½º(Paranoid PlugX)¶ó´Â º¯Á¾°úµµ ²Ï³ª À¯»çÇÑ Á¡ÀÌ ¸¹Àº °ÍÀ¸·Î º¸ÀδÙ.

¡°ÀÌ °ø°ÝÀ» Á¦°ÅÇÏ·Á¸é ÇÁ·Î¼¼½ºµµ »èÁ¦ÇÏ°í, °ü·ÃµÈ ·¹Áö½ºÆ®¸®¿Í Å°µéµµ ´Ù Áö¿ö¾ß ÇÕ´Ï´Ù. ¶ÇÇÑ ÀÚ²Ù¸¸ ¹Ýº¹µÇ¾î ³ªÅ¸³ª´Â ÆÄÀÏ°ú µð·ºÅ丮µéµµ ã¾Æ¼­ »èÁ¦ÇØ¾ß ÇÕ´Ï´Ù. °ñÄ¡ ¾ÆÇ ³à¼®ÀÌÁÒ. ÀÌ·± ½ÄÀÇ °ø°Ý ¹æ½ÄÀº °ú°Å¿¡ ¹ß°ßµÈ ÆĶó³ëÀ̵å Ç÷¯±×¿¢½º¿Í »ó´çÈ÷ À¯»çÇÕ´Ï´Ù.¡± ÇåÅÍÀÇ ¼³¸íÀÌ´Ù.

Äõ»ç·§ÀÇ °æ¿ì ¡°À̹ø¿¡ ¹ß°ßµÈ ¹öÀü¿¡´Â »þÇÁ½ºÇ÷ÎÀÕ(SharpSploit)À̶ó´Â ºñ¹Ð¹øÈ£ ÃßÃâ µµ±¸°¡ ÷°¡µÇ¾î ÀÖ´Ù¡±°í ÇÑ´Ù. ¡°»þÇÁ½ºÇ÷ÎÀÕÀº ¹Ì¹ÌijÃ÷(Mimikatz)ÀÇ ±â´ÉÀ» °¡Áø °³¹ß ÇÁ·¹ÀÓ¿öÅ©¶ó°í º¼ ¼ö ÀÖ½À´Ï´Ù.¡±

ÇåÅÍ´Â Ç÷¯±×¿¢½º¿Í Äõ»ç·§ ¸ðµÎ ¾ÆÁ÷ °³¹ß°ú ½ÇÇèÀÌ ÁøÇà Áß¿¡ ÀÖ´Â °Í °°´Ù´Â ÀÇ°ßÀÌ´Ù. ¡°ÀúÈñ°¡ ¹ß°ßÇÑ »ùÇõ鿡 ¿¥º£µå µÈ ÀÎÁõ¼­´Â 2018³â 12¿ù 22ÀÏ¿¡ ¹ßÇàµÈ °ÍÀÔ´Ï´Ù. ±×·±µ¥ ÇØ´ç ÆÄÀÏÀÇ ÄÄÆÄÀÏ ³¯Â¥µµ µ¿ÀÏÇÏ´õ±º¿ä. ÀúÈñ°¡ ¹ß°ßÇÑ »ùÇÃÀÌ ¿ø·¡ºÎÅÍ Àå±âÀûÀÎ ¸ñÀûÀ» °¡Áö°í ¸¶·ÃµÈ °Ô ¾Æ´Ï¶ó´Â ¶æÀ¸·Î Çؼ®µË´Ï´Ù. ¾Æ´Ï¸é °³¹ß ´Ü°è¿¡ Àְųª¿ä. ¾îÂîµÆµç APT10ÀÌ ¾ÆÁ÷µµ È°¹ßÇÏ°Ô ¿òÁ÷ÀÌ°í ÀÖ´Ù´Â °ÍÀº ºÐ¸íÇÕ´Ï´Ù.¡±

3ÁÙ ¿ä¾à
1. Áß±¹ÀÇ APT10, 4¿ù¿¡ »õ·Î¿î ·Î´õ °¡Áö°í µ¿³²¾Æ ±¹°¡ °ø°Ý ½ÃÀÛ.
2. »õ·Î¿î ·Î´õ´Â scvhost.exe¿Í Run ·¹Áö½ºÆ®¸® ÅëÇؼ­ °ø°Ý Áö¼Ó¼º È®º¸ÇÏ°í ÃÖÁ¾ ÆäÀÌ·Îµå ´Ù¿î·Îµå.
3. ÃÖÁ¾ ÆäÀ̷εå´Â Ç÷¯±×¿¢½º¿Í Äõ»ç·§ÀÇ ÀÏÁ¾. µÑ ´Ù Á¤Âû°ú Á¤º¸ ¼öÁýÀ» ¸ñÀûÀ¸·Î ÇÏ°í ÀÖÀ½.

[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)