Home > Àüü±â»ç

Áßµ¿ ³ë¸®´Â APT ±×·ì »þÆÛ, ÀÚ±ÞÀÚÁ· Àü·« ÅëÇØ Ä·ÆäÀÎ ¹ú¿©

ÀÔ·Â : 2020-05-26 09:25
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
2014³âºÎÅÍ È°µ¿ÇØ¿Â °ÍÀ¸·Î º¸ÀÌ´Â APT ´Üü...ÇÇÇØÀÚÀÇ µµ±¸µé ±×´ë·Î »ç¿ëÇØ
¡®¸®ºù ¿ÀÇÁ ´õ ·£µå¡¯ Àü·«...ŽÁöÇÏ´Â µ¥ ¸Å¿ì ¾î·Á¿ö °ø°ÝÀÚµé »çÀÌ¿¡¼­ ¼±È£µÅ


[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] »þÆÛ(Chafer)¶ó´Â APT ±×·ìÀÌ »õ·Î¿î »çÀ̹ö ¹üÁË Ä·ÆäÀÎÀ» ½ÃÀÛÇÑ °ÍÀ¸·Î º¸ÀδÙ. ÀÌ¹Ì Á¤ºÎ ±â°üµé°ú ¿î¼Û ±â¾÷µéÀÌ °ø°ÝÀ» ´çÇÑ °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖ´Ù. »þÆÛ´Â 2014³âºÎÅÍ È°µ¿ÇØ ¿Â °ÍÀ¸·Î ¾Ë·ÁÁø APT ´Üü·Î, ÁÖ·Î Áßµ¿ ±¹°¡ÀÇ »çȸ ±â¹Ý ½Ã¼³À» °ø°ÝÇØ¿Ô´Ù. °¡Àå ¸¶Áö¸·¿¡ ¹ß°ßµÈ °Ç 2019³âÀ¸·Î, 2018³âºÎÅÍ Äí¿þÀÌÆ®¿Í »ç¿ìµð¾Æ¶óºñ¾Æ¸¦ °ø°ÝÇÏ°í ÀÖ¾ú´Ù.

[À̹ÌÁö = utoimage]


º¸¾È ¾÷ü ºñÆ®µðÆæ´õ(Bitdefender)°¡ ÃÖ±Ù ¹ß°ßÇÑ Ä·ÆäÀεµ Áßµ¿ Áö¿ªÀÇ ´ÜüµéÀ» ´ë»óÀ¸·Î 2018³âºÎÅÍ ÁøÇàµÇ¾î ¿Â °ÍÀ̶ó°í ÇÑ´Ù. ¶ÇÇÑ °ú°Å »þÆÛ°¡ º¸¿©ÁØ °Í°ú ¸¶Âù°¡Áö·Î ¡®¸®ºù ¿ÀÇÁ ´õ ·£µå(living off the land)¡¯ ±â¹ýÀ» È°¿ëÇÑ °ÍÀ¸·Î ºÐ¼®µÆ´Ù. Áï °ø°Ý µµ±¸¸¦ ÀÚüÀûÀ¸·Î ¸¸µé¾î »ç¿ëÇÑ °ÍÀÌ ¾Æ´Ï¶ó ÇÇÇØÀÚÀÇ ½Ã½ºÅÛ¿¡ ÀÖ´Â µµ±¸µéÀ̳ª ÈçÈ÷ ±¸ÇÒ ¼ö ÀÖ´Â ÄÄÇ»ÅÍ µµ±¸µéÀ» ¾Ç¿ëÇÏ´Â ¹æ½ÄÀ¸·Î ¸ñÀûÇÏ´Â ¹Ù¸¦ ´Þ¼ºÇÑ °ÍÀÌ´Ù.

ºñÆ®µðÆæ´õÀÇ ±Û·Î¹ú »çÀ̹ö º¸¾È ºÐ¼®°¡ÀÎ ¸®ºñ¿ì ¾Æ¸£¼¾(Liviu Arsene)Àº ¾ÆÁ÷±îÁö ¾ó¸¶³ª ¸¹Àº Á¶Á÷µéÀÌ °ø°Ý¿¡ ´çÇß´ÂÁö Á¤È®È÷ ÆľÇÇϱâ´Â ÈûµéÁö¸¸, ÀûÀº ¼ö´Â ¾Æ´Ï¶ó°í º¸°í¼­¸¦ ÅëÇØ ¹ßÇ¥Çß´Ù.

ÇöÀç±îÁö ¾Ë·ÁÁø ³»¿ë¿¡ µû¸£¸é »þÆÛ °ø°ÝÀÚµéÀº ¼ÐÄÚµå·Î Á¶ÀÛÇÑ ÇÇ½Ì ¹®¼­¸¦ ÅëÇØ Á¦ÀÏ ¸ÕÀú °ø°ÝÀ» ½ÃµµÇÑ °ÍÀ¸·Î º¸Àδٰí ÇÑ´Ù. ÃæºÐÇÑ Á¤Âû È°µ¿À» ÅëÇØ Á¤º¸¸¦ ¸ðÀ¸°í ½ºÇǾîÇÇ½Ì °ø°ÝÀ» °¨ÇàÇÑ °ÍÀ¸·Î ÀǽɵǴ »óȲÀÌ´Ù. ¶ÇÇÑ Æ¯Á¤ °èÁ¤µé ¸î °³¿¡¼­ ¼ö»óÇÑ ÇൿÀÌ Å½ÁöµÈ °ÍÀ¸·Î º¸¾Æ °ø°ÝÀÚµéÀÌ Ä§Åõ ÈÄ °èÁ¤À» ¸¸µé°í, À̸¦ ÅëÇØ ³×Æ®¿öÅ© ³»¿¡¼­ ¿©·¯ °¡Áö È°µ¿À» ¹úÀÎ °ÍÀ¸·Î Àǽɵȴٰí ÇÑ´Ù.

±â¾÷ ³»¿¡ ¹ßÀ» µéÀÌ´Â µ¥ ¼º°øÇÒ °æ¿ì °ø°ÝÀÚµéÀº imjpuexa.exe¶ó´Â ¹éµµ¾î¸¦ ¼³Ä¡ÇÑ´Ù. ¶ÇÇÑ ³×Æ®¿öÅ© ½ºÄ³´× ¹× Å©¸®µ§¼È ¼öÁý ±â´ÉÀ» °¡Áö°í ÀÖ´Â µµ±¸µéµµ ¼³Ä¡µÈ´Ù. À̸¦ ÅëÇØ ³×Æ®¿öÅ© ³» ȾÀû ¿òÁ÷ÀÓÀ» À§ÇÑ Á¤ÂûÀ» ÇÒ ¼ö ÀÖ°Ô µÈ´Ù. ³×Æ®¿öÅ© ½ºÄµ, Å©¸®µ§¼È ¼öÁý, °èÁ¤ ¹ß°ß, ÄÚµå ÁÖÀÔÀ» ¸ðµÎ ÇÒ ¼ö ÀÖ´Ù°í ¾Ë·ÁÁø ´Ù¸ñÀû °ø°Ý µµ±¸ÀÎ Å©·¢¸ÊÀ̱×Á§(CrackMapExec)ÀÌ »ç¿ëµÇ´Â °æ¿ìµµ ºó¹øÇÏ´Ù°í ÇÑ´Ù.

±× ¿Ü¿¡ ÇǸµÅ©(PLINK)¶ó´Â µµ±¸µµ °ø°ÝÀÚµéÀÌ ¾à°£ÀÇ ¡®Æ©´×¡¯À» ÇÏ¿© È°¿ëÇÏ°í ÀÖ¾ú´Ù. ÀÌ µµ±¸ÀÇ ½ÇÇàÆÄÀÏ È¤Àº ÇÁ·Î¼¼½º À̸§Àº wehscv.exeÀ̸ç, ƯÁ¤ ±â´ÉÀ̳ª ¿î¿µÀ» ÀÚµ¿È­·Î ó¸®ÇÒ ¶§ »ç¿ëµÈ´Ù. »þÆÛ´Â º»¿¬ÀÇ ±â´ÉÀ» ±×´ë·Î »ì¸®µÇ, À©µµ¿ì ¼­ºñ½ºÀÇ ÀÏÁ¾À¸·Î ½ÇÇàµÇµµ·Ï ÇÏ´Â ±â´É°ú ¼­ºñ½º Á¦°Å(uninstall) ±â´ÉÀ» Ãß°¡Çß´Ù. ºñÆ®µðÆæ´õ ÃøÀº °ø°ÝÀÚµéÀÌ ÇǸµÅ©¸¦ °¡Áö°í C&C¿Í Åë½ÅÇϰųª ³»³»ºÎ ±â°èµé¿¡ Á¢±ÙÇÏ´Â µ¥ »ç¿ëÇßÀ» °Å¶ó°í ÃßÃøÇÏÁö¸¸ ¸íÈ®ÇÑ Áõ°Å´Â ¾ø´Â »óÅ´Ù.

¼Ò¼È ¿£Áö´Ï¾î¸µÀ» ÅëÇØ ÃÖÃÊ Ä§Åõ¿¡ ¼º°øÇßÀ» °¡´É¼ºµµ ³ô°Ô Á¡ÃÄÁö°í ÀÖ´Ù. ±×·¸°Ô µÇ¾úÀ» °æ¿ì »þÆÛ´Â ¿ø°Ý Á¢±Ù µµ±¸(RAT)¸¦ Çϳª ·ÎµùÇÑ °ÍÀ¸·Î ºÐ¼®µÆ´Ù. ÀÌ ¶§ RAT´Â µÎ ¹ø ½ÇÇàµÆ´Âµ¥, °¢°¢ drivers.exe¿Í drivers_x64.exe¶ó´Â À̸§ÀÌ »ç¿ëµÆ´Ù. µÑ »çÀÌ¿¡ ½Ã°£Â÷´Â 3ºÐÀ̾ú´Ù. ÇÇÇØÀÚ¸¦ ¼ÓÀ̱â À§ÇÑ ¼ö´ÜÀ¸·Î º¸ÀÎ´Ù°í ºñÆ®µðÆæ´õ´Â ºÐ¼®Çß´Ù. ÀÌ RAT´Â ÆÄÀ̼±À¸·Î ÀÛ¼ºµÆÀ¸¸ç, µ¶¸³ ½ÇÇàÆÄÀÏÀÌ´Ù.

Áß¿äÇÑ °Ç »þÆÛ°¡ ´ëºÎºÐÀÇ °æ¿ì ¡®¸®ºù ¿ÀÇÁ ´õ ·£µå¡¯ Àü·«À» È°¿ëÇß´Ù´Â °ÍÀÌ´Ù. ¡®¸®ºù ¿ÀÇÁ ´õ ·£µå¡¯¶õ ÀÚ±ÞÀÚÁ·ÇÑ´Ù´Â ¶æÀ¸·Î, ÇÇÇØÀÚÀÇ ½Ã½ºÅÛ¿¡ ÀÖ´Â ÀÚ¿øÀ» ¾ÇÀÇÀû ¸ñÀûÀ¸·Î »ç¿ëÇÏ´Â °ÍÀ» ¸»ÇÑ´Ù. »þÆÛ´Â ÁÖ·Î ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®¿¡ ÀÖ´Â Á¤»óÀûÀÎ ¼­ºñ½º °ü¸® µµ±¸ÀÎ NSSMÀ» ²Ï³ª ¸¹ÀÌ È°¿ëÇÏ´Â ¸ð½ÀÀ» º¸¿´´Ù.

NSSMÀº ¹è°æ°ú Àü°æ¿¡ ½ÇÇàµÇ´Â ¼­ºñ½º¿Í ÇÁ·Î¼¼½ºµéÀ» °ü¸®ÇÏ´Â ÀÏÁ¾ÀÇ À¯Æ¿¸®Æ¼ µµ±¸´Ù. ºñÆ®µðÆæ´õÀÇ ¿¬±¸¿øµéÀº ¡°°ø°ÝÀÚµéÀÌ NSSMÀ» ÅëÇØ ÀڽŵéÀÌ ¼³Ä¡ÇÑ RAT°¡ Á¦´ë·Î µ¹¾Æ°¡µµ·Ï Çß´Ù¡±°í º¸°í ÀÖ´Ù. Áï °ø°Ý Áö¼Ó¼º È®º¸¸¦ À§ÇÑ µµ±¸·Î¼­ NSSMÀ̶ó´Â Á¤»ó µµ±¸¸¦ »ç¿ëÇß´Ù´Â °ÍÀÌ´Ù.

ÀÌ·± ¡®¸®ºù ¿ÀÇÁ ´õ ·£µå¡¯ Àü·«Àº Á¡Á¡ ´õ ¸¹Àº °ø°ÝÀÚµéÀÌ È°¿ëÇϱ⠽ÃÀÛÇÑ °ÍÀ¸·Î, ŽÁö¸¦ ¸Å¿ì ¾î·Æ°Ô ¸¸µç´Ù´Â ÀåÁ¡ÀÌ ÀÖ´Ù. Çൿ¿¡ Á¦¾àÀÌ ÀÖÀ» ¼ö ÀÖÁö¸¸ ´ëºÎºÐÀÇ ½Ã½ºÅÛ¿¡ ÀÖ´Â °ü¸® À¯Æ¿¸®Æ¼¸¦ ¾Ç¿ëÇÔÀ¸·Î½á ÇÊ¿äÇÑ ¾Ç¼º ÇàÀ§´Â °ÅÀÇ ÇÒ ¼ö ÀÖ´Â °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖ´Ù.

ÇöÀç ºñÆ®µðÆæ´õ°¡ ¹ß°ßÇÑ Ä·ÆäÀÎÀº Áß´ÜµÈ »óŶó°í ÇÑ´Ù. ÇØ´ç ±¹°¡³ª Áö¿ªÀÇ ´ã´ç ±â°üÀÌ ÀÌ Ä·ÆäÀο¡ ´ëÇØ Á¶Ä¡¸¦ ÃëÇÑ °ÍÀ¸·Î º¸ÀδÙ.

3ÁÙ ¿ä¾à
1. Áßµ¿ ±¹°¡µé ³ë¸®´Â APT ±×·ì »þÆÛ, ŽÁö ÇÇÇϱâ À§ÇØ ¡®ÀÚ±ÞÀÚÁ· Àü·«¡¯ »ç¿ë.
2. ÇÇÇØÀÚÀÇ ½Ã½ºÅÛ¿¡ ÀÖ´Â À¯Æ¿¸®Æ¼µéÀ» °ø°Ý¿¡ È°¿ëÇÏ´Â Àü·«À¸·Î ŽÁö ¾î·Á¿ò.
3. ÇöÀç ÀÌ ¡®ÀÚ±ÞÀÚÁ· Àü·«¡¯À» ±¸»çÇϱ⠽ÃÀÛÇÑ °ø°ÝÀÚµé Á¡Á¡ ¸¹¾ÆÁö°í ÀÖÀ½.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)