Home > Àüü±â»ç

ºÏÇÑÀÇ APT37, ¾Ç¼º ¿öµå ¹®¼­ È°¿ëÇØ Çѱ¹ °ø°ÝÇß¾ú´Ù

ÀÔ·Â : 2021-01-08 14:18
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
¹ÙÀÌ·¯½ºÅäÅ»¿¡ ÇÑ ¿öµå ¹®¼­°¡ ¿Ã¶ó¿Ô´Ù. ¾Ç¼º ¸ÅÅ©·Î°¡ ½É°ÜÁø °ÍÀ¸·Î, 1³â Àü¿¡ ¸¸µé¾îÁø °ÍÀ̾ú´Ù. °£´ãȸ¸¦ ÀÇ·ÚÇÑ´Ù´Â Á¦¸ñÀÌ Çѱ۷ΠÀûÇô ÀÖ´Â ÀÌ ¾Ç¼º ¹®¼­´Â ºÏÇÑÀÇ ÇØÄ¿µéÀÌ Çѱ¹À» °ø°ÝÇÒ ¶§ È°¿ëÇÑ °ÍÀ¸·Î º¸ÀδÙ.

[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] º¸¾È ¾÷ü ¸Ö¿þ¾î¹ÙÀÌÃ÷(Malwarebytes)°¡ ºÏÇÑÀÇ ÇØÅ· ±×·ì¿¡ ´ëÇÑ »õ·Î¿î ³»¿ëÀÇ º¸°í¼­¸¦ ¹ßÇ¥Çß´Ù. APT37·Î ºÐ·ùµÇ´Â °ø°Ý ´Üü°¡ ·Ï·§(RokRAT)À̶ó´Â ¸Ö¿þ¾î¸¦ »ç¿ëÇØ Çѱ¹ Á¤ºÎ ±â°üµé·ÎºÎÅÍ Á¤º¸¸¦ ÈÉÃÄ°¬´Ù´Â ³»¿ëÀÌ´Ù. ÀÌ °ø°ÝÀº ¾à 1³â Àü¿¡ ¹ß»ýÇÑ °ÍÀ¸·Î º¸ÀδÙ.

[À̹ÌÁö = Malwarebytes]


¸Ö¿þ¾î¹ÙÀÌÃ÷°¡ ÀÌ °ø°Ý¿¡ ´ëÇØ ¾Ë¾Æ³½ °Ç Áö³­ 12¿ù·Î, ¹ÙÀÌ·¯½ºÅäÅ»(VirusTotal)¿¡ ¾÷·Îµå µÈ ÇÑ ¾Ç¼º ¿öµå ¹®¼­¸¦ ¹ß°ßÇϸ鼭ºÎÅÍ´Ù. ȸÀÇ ¼ÒÁý°ú °ü·ÃµÈ °Íó·³ º¸ÀÌ´Â ÀÌ ¹®¼­´Â 2020³â 1¿ù¿¡ ÄÄÆÄÀϸµ µÈ °ÍÀ¸·Î ³ªÅ¸³µ´Ù. ÆÄÀÏ¿¡´Â ¸ÅÅ©·Î°¡ »ðÀԵǾî ÀÖ¾ú°í, ÇÇÇØÀÚ°¡ ÀÌ ¹®¼­¸¦ ¿­¸é ¹ßµ¿µÈ´Ù°í ÇÑ´Ù.

¸ÅÅ©·Î°¡ ¹ßµ¿µÇ¸é VBA ÀÚ°¡ µðÄÚµù ±â´ÉÀÌ ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ¿ÀÇǽºÀÇ ¸Þ¸ð¸® ¿µ¿ª ³»¿¡¼­ ½ÇÇàµÇ¸ç, µð½ºÅ©¿¡´Â ¾Æ¹«·± ÈçÀûÀÌ ³²Áö ¾Ê´Â´Ù. ÀÌ °úÁ¤ÀÌ ³¡³ª¸é ·Ï·§ÀÇ º¯Á¾ÀÌ ¸Þ¸ðÀå ¾ÖÇø®ÄÉÀ̼ǿ¡ ÀÓº£µå µÈ´Ù. ·Ï·§Àº ÀÏÁ¾ÀÇ ¿ø°Ý Á¢±Ù Æ®·ÎÀ̸ñ¸¶(RAT)·Î, ÇÇÇØÀÚÀÇ ½Ã½ºÅÛÀ¸·ÎºÎÅÍ ¿©·¯ °¡Áö Á¤º¸¸¦ ÃßÃâÇØ ¿ÜºÎ·Î »©µ¹¸®´Â ±â´ÉÀ» °¡Áö°í ÀÖ´Ù.

¸Ö¿þ¾î¹ÙÀÌÃ÷´Â ÀÌ ¹®¼­¸¦ ¹èÆ÷ÇÑ °ø°ÝÀÚ°¡ ºÏÇÑÀÇ APT37ÀÏ °¡´É¼ºÀÌ ³ô´Ù°í º¸°í ÀÖ´Ù. APT37Àº ½ºÄ«Å©·¯ÇÁÆ®(ScarCruft), ¸®ÆÛ(Reaper), ±×·ì123(Group123)À̶ó´Â À̸§À¸·Îµµ ºÒ¸°´Ù. 2012³âºÎÅÍ È°µ¿À» ÇØ ¿ÔÀ¸¸ç, ÁÖ·Î Çѱ¹ÀÇ ¿©·¯ Á¶Á÷°ú °³ÀεéÀ» ³ë¸®´Â °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖ´Ù. ÁÖ·Î Çѱ¹¿¡¼­ ¸¹ÀÌ »ç¿ëµÇ´Â HWP ÆÄÀÏÀ» ¹Ì³¢·Î È°¿ëÇÏ´Â °ÍÀ¸·Î À¯¸íÇÏ´Ù. ÇÏÁö¸¸ À̹ø¿¡ ¹ß°ßµÈ »ùÇÃÀº MS ¿öµå ¹®¼­¿´´Ù.

·Ï·§Àº ¡®Å¬¶ó¿ìµå ±â¹Ý ¿ø°Ý Á¢±Ù Æ®·ÎÀ̸ñ¸¶¡¯·Î ºÐ·ùµÈ´Ù. ÇÇÇØÀÚÀÇ ½Ã½ºÅÛÀ¸·ÎºÎÅÍ Á¤º¸¸¦ ÈÉÃij½ µÚ ¿©·¯ °ø°ø Ŭ¶ó¿ìµå ¼­ºñ½º¿¡ ÀúÀåÇϱ⠶§¹®ÀÌ´Ù. ÇǾ¾Å¬¶ó¿ìµå(PcCloud), µå·Ó¹Ú½º(Dropbox), ¹Ú½º(Box), ¾áµ¦½º(Yandex)¿Í °°Àº ¼­ºñ½ºµéÀÌ ÁÖ·Î È°¿ëµÈ´Ù°í ¸Ö¿þ¾î¹ÙÀÌÃ÷´Â ¼³¸íÇÑ´Ù. APT37Àº 2017³âºÎÅÍ ·Ï·§À» È°¿ëÇØ ¿Ô´Ù.

À̹ø º¯Á¾ÀÇ °æ¿ì °ú°Å º¯Á¾µé°ú ¸¶Âù°¡Áö·Î ¸î °¡Áö ºÐ¼® ¹æÇØ ±â´Éµéµµ °¡Áö°í ÀÖ´Â °ÍÀ¸·Î ºÐ¼®µÆ´Ù.
1) iDefense SysAnalyzer, ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® µð¹ö±ë DLL, »÷µå¹Ú½Ã½º(Sandboxies)¿Í °ü·ÃÀÌ ÀÖ´Â DLLÀÌ ÀÖ´ÂÁö È®ÀÎÇÑ´Ù.
2) IsDebuggerPresent¿Í GetTickCount¸¦ È£ÃâÇÔÀ¸·Î½á µð¹ö°Å¸¦ ½Äº°ÇÑ´Ù.
3) VM¿þ¾î¿Í °ü·ÃÀÌ ÀÖ´Â ÆÄÀÏÀÌ ÀÖ´ÂÁö¸¦ È®ÀÎÇÑ´Ù.

ÁÖ¿ä ½ºÆÄÀÌ ±â´É¿¡´Â ´ÙÀ½°ú °°Àº °ÍµéÀÌ ÀÖ´Â °ÍÀ¸·Î ¹àÇôÁ³´Ù.
1) ½ºÅ©¸°¼¦ ĸÃÄ
2) »ç¿ëÀÚ À̸§, ÄÄÇ»ÅÍ À̸§, BIOS µî ½Ã½ºÅÛ Á¤º¸ ¼öÁý
3) ¼öÁýÇÑ µ¥ÀÌÅ͸¦ Ŭ¶ó¿ìµå ¼­ºñ½º·Î Àü¼Û
4) Å©¸®µ§¼È Å»Ãë
5) ÆÄÀÏ °ü¸® ¹× ¾Ïȣȭ/º¹È£È­ °ü¸®

ÀÌ ·Ï·§ÀÇ º¸´Ù »ó¼¼ÇÑ ºÐ¼®Àº º¸¾È ±â¾÷ÀÎ NCC±×·ì(NCC Group)°ú ½Ã½ºÄÚ Å»·Î½º(Cisco Talos) ÆÀÀÌ ÀÌÀü¿¡µµ ¹ßÇ¥ÇÑ ¹Ù ÀÖ´Ù. NCC±×·ìÀÇ º¸°í¼­´Â ¿©±â¼­(https://www.nccgroup.com/uk/about-us/newsroom-and-events/blogs/2018/november/rokrat-analysis/), Å»·Î½º ÆÀÀÇ º¸°í¼­´Â ¿©±â¼­(https://blog.talosintelligence.com/2017/11/ROKRAT-Reloaded.html) ¿­¶÷ÀÌ °¡´ÉÇÏ´Ù. À̹ø ¸Ö¿þ¾î¹ÙÀÌÃ÷ÀÇ º¸°í¼­´Â ¿©±â(https://blog.malwarebytes.com/threat-analysis/2021/01/retrohunting-apt37-north-korean-apt-used-vba-self-decode-technique-to-inject-rokrat/)¿¡¼­ ã¾Æº¼ ¼ö ÀÖ´Ù.

¸Ö¿þ¾î¹ÙÀÌÃ÷´Â ¡°1³â Àü ¹ß»ýÇÑ °ø°ÝÀº ½ºÇǾîÇǽÌÀ¸·ÎºÎÅÍ ½ÃÀÛÇßÀ» °¡´É¼ºÀÌ ³ô´Ù¡±¸ç ¡°APT37ÀÌ HWP°¡ ¾Æ´Ñ ¿öµå ÆÄÀÏÀ» °ø°Ý¿¡ È°¿ëÇÑ µå¹® »ç·Ê¡±¶ó°í °á·ÐÀ» ³»·È´Ù. ¿ö³« HWP ÆÄÀÏÀ» ¹Ì³¢·Î È°¿ëÇÏ´Â Àü·«ÀÌ À¯¸íÇÏ´Ï Àü·«ÀûÀÎ º¯È­¸¦ Àû¿ëÇÑ °ÍÀ̶ó°í ¸Ö¿þ¾î¹ÙÀÌÃ÷´Â Çؼ®ÇÏ°í ÀÖ´Ù. ¾ÆÁ÷±îÁö Á¤È®ÇÑ ÇÇÇØÀÚ´Â ¹àÇôÁöÁö ¾Ê°í ÀÖ´Ù. Çѱ¹ Á¤ºÎ ±â°üµéÀÌ ÇöÀç±îÁö ¹ßÇ¥µÈ °ü·Ã ħÇØÁöÇ¥¸¦ ÅëÇØ Á¡°ËÇÏ´Â °ÍÀÌ ÇÊ¿äÇØ º¸ÀδÙ. ¸Ö¿þ¾î¹ÙÀÌÃ÷µµ º¸°í¼­ ¸»¹Ì¿¡ ħÇØÁöÇ¥¸¦ Á¤¸®ÇØ µÎ¾ú´Ù.

3ÁÙ ¿ä¾à
1. ºÏÇÑÀÇ APT37ÀÇ 1³â Àü °ø°ÝÀÌ ÀÛ³â 12¿ù¿¡ ¹ß°ßµÇ°í ¿À´Ã ¹ßÇ¥µÊ.
2. ·Ï·§À̶ó´Â Á¤Âû¿ë ¸Ö¿þ¾î »ç¿ëÇÑ Ä·ÆäÀÎ, ÁÖ·Î Çѱ¹ Á¤ºÎ ³ë¸®°í ½ÇÇàµÈ µí.
3. ÇÇÇØ ±Ô¸ð¿Í ÇÇÇØ Á¶Á÷ ³ª¿ÀÁö ¾Ê¾Æ, Çѱ¹ Á¤ºÎ ±â°üµéÀÌ ½º½º·Î Á¡°ËÇÒ ÇÊ¿ä ÀÖÀ½.

[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)