Nation-State Cyber Actors Analysis Report

Security Issue

블로그

Nation-State Cyber Actors Analysis Report Security Issue

공식 홈페이지

📜

Nation-State Cyber Actors Analysis Report

중국, 북한, 러시아 등 국가 기반의 위협 행위에 대한 분석 보고서를 확인할 수 있습니다.

Gallery

Table

MSC 기반의 악성코드는 북한 해킹그룹 김수키(Kimsuky)나 중국 해킹그룹 머스탱 판다(Mustang Panda)에서 사용했으며, 최근에는 MaaS(Malware-as-a-Service) 유형의 악성코드 유포에 자주 사용됨

○ MSC 파일 실행 시 C2에 접근해 악성 RAR 파일을 다운로드 하는 과정을 2번 거친 후 최종적으로 정보 탈취 및 RAT 악성코드(XWorm RAT, Stealerium)를 실행하여 각종 정보 탈취

[그림 1] 공격 흐름도

2. 대응방안

[IG-25-4028-CLEAR] 업무 문서로 위장한 악성 MSC파일 분석 : Malicious MSC file Disguised as a Business Document(XWorm RAT, Stealerium) Analysis

1. 개요

○ 북한 위협 행위자 Kimsuky가 ‘한국기계연구원’공격에 사용한 것으로 추정되는, 기유출된 CJ Olivenetworks 인증서 악용 악성코드 분석(공격에 사용된 Phishing정보는 미확인)

•

Kimsuky 그룹이 배후로 알려진 ‘Nexaweb* 인증서를 악용한 미국 방산 기업 채용 피싱’ 캠페인과 TTP(Tactic, Technique, Procedure) 유사성이 확인됨

•

타임스탬프가 존재하는 인증서는 폐기되더라도 유효한 서명으로 인정되어 보안 시스템과 사용자의 신뢰를 쉽게 얻을 수 있어 주의가 필요

○ Kimsuky 그룹은 PebbleDash* 백도어 악성코드 등을 사용해 피해자 시스템 원격 제어 및 추가 악성 행위 수행하는 것으로 알려짐

* PebbleDash : 기문서 ‘[IG-25-4006-O] 북한발 PebbleDash 백도어 악성코드 분석 공유’ 참고

[그림 1] 공격 흐름도

[IG-25-4026-CLEAR] CJ Olivenetworks 인증서 악용 악성코드 분석 : 유출된 인증서를 악용한 Kimsuky 그룹의 피싱 캠페인

1. 공격개요

○ 북한 해킹 그룹 Kimsuky가 스피어피싱을 통해 유포한 악성 LNK 파일 3건을 확보해 분석

•

C2의 포트(9992, 7648) 및 파일명, Google Drive 정보에 따라 2가지 유형으로 분류

○ 스피어피싱내 악성LNK를 통한 공격 시나리오(with 클라우드 스토리지)

스피어피싱내 악성LNK파일 : .docx확장자와 아이콘으로 사용자 실행 유도

클라우드 스토리지 이용한 정보 수집 및 정찰 : Dropbox와 Google Drive를 이용해 시스템 정보 탈취 코드 다운로드 및 실행 → 수집된 시스템 정보 업로드

Powershell백도어로 추가 악성코드 실행 : C2에서 명령어를 즉시 혹은 반복 실행기능 있는 Powershell백도어 다운로드 후, Run레지스트리 및 작업 스케줄러 등록으로 지속성 확보 후 추가 악성코드 실행

[IG-25-4009-O] 북한 Kimsuky그룹의 스피어피싱을 통한 악성 LNK파일 : Powershell 백도어 설치 및 RCE 공격 절차 분석 : Malicious LNK through spear phishing by North Korea's Kimsuky Group: Analysis of Powershell backdoor installation and RCE attack procedures

1. 개요

○ 북한위협 행위자(Konni, Kimsuky) 유포로 추정되는 바로가기(*.LNK)파일 4종 확보

•

C2, 코드 구조, 난독화 방식의 유사성에 따라 모듈화된 batch 파일 사용, 정상 프로세스를 복사해 사용, *.db로 위장한 *.bat 사용의 3가지 유형으로 분류

○ 특히 Konni그룹이 유포 중인 ‘유형A’는, 다른 유형보다 더 정교한 형태의 공격을 수행

•

현재 시간을 키로 통신에 사용되는 주소의 일부를 암호화하여 주소를 유동적으로 변경

•

시스템 정보를 탈취한 후 %COMPUTERNAME%을 사용해 타겟을 선정하여 추가 악성코드를 배포

○ Kimsuky와 Konni 그룹은 PebbleDash 백도어와 RAT 계열 악성코드 등을 사용해 피해자 시스템 원격 제어 및 추가 악성 행위 수행하는 것으로 알려짐

[IG-25-4018-O] 북한발 위협 행위자 관련 LNK 기반 악성파일 분석 : LNK를 이용한 Konni과 Kimsuky 공격 매커니즘 분석 : Analysis of LNK related to North Korean threat actors: Analysis of Konni and Kimsuky attack mechanisms using LNK

1. 개요

○ 북한 해킹 그룹 Lazarus가 사용한 IP Messenger(IPMsg)* 설치 파일로 위장한 악성코드 확보 후 분석

* IP Messenger : 동일한 네트워크 사용자간 채팅 및 파일 전송 등을 지원하는 무료 네트워크 메신저

○ 악성 설치 파일은 정상 설치 파일과 동일한 파일명 사용하고, 악성 행위 수행 전 정상 설치 파일을 생성 및 실행해 사용자로부터 악성코드 실행을 은폐

○ 여러 악성 DLL들을 파일리스 방식으로 실행해 최대 3개의 C2 서버와 지속적인 통신이 가능하며 유사 백도어처럼 동작하는 것으로 분석

•

각 DLL 파일은 샌드박스나 자동화 도구에서 단독으로 실행되는 것을 막기 위한 안티리버싱 코드가 존재해 악성코드 분석 방해 및 검사 우회를 시도

○ C2로부터 ZIP 파일로 압축된 악성 DLL을 다운로드 및 실행하여 추가 악성 행위를 수행

[IG-25-4007-O] 북한 Lazarus 그룹의 IPMsg 설치 파일 위장 악성코드 분석 : Analysis of Malware Disguised as IPMsg Installation File of North Korea's Lazarus Group

1. 개요

○ 2025.04.04. Socket Inc.에서 북한 위협 행위자가 Contagious Interview 캠페인*의 일부로 사용한 BeaverTail 악성코드의 추가 유포 방식 공개

* 2023.11.21 Palo Alto에서 명명한 IT기업에 취업을 원하는 구직자를 대상으로 하는 공격 캠페인

•

BeaverTail 악성코드를 포함한 JavaScript 코드를 난독화해 npm 패키지에 포함한 후 유포하는 기존 방식 외에도, JavaScript 코드 내에 16진수(HEX) 형태로 인코딩된 C2 주소를 디코딩해 명령을 요청하는 새로운 방식 발견

•

기존 유포 경로인 npm, GitHub 외 Bitbucket을 추가로 활용하며 공격 경로 다변화 시도

○ 유포된 악성 npm 패키지는 ‘Phantom Circuit*’에서 사용된 C2 서버와 동일한 IP 및 포트 사용하고 있으며, 여러 악성 패키지 간 C2 인프라 비교 결과 동일한 포트 사용 및 유사한 URI 구조가 확인

* 북한 위협 행위자인 Lazarus가 개발자와 가상화폐 업계 종사자를 대상으로 하는 정보 탈취 캠페인

[IG-25-4012-O] 북한 위협 행위자 Contagious Interview 캠페인 분석(2보):(Analyzing the North Korean Threat Actor Interview Campaign) : BeaverTail Malware Analysis

1. 개요

○ 러시아 위협 행위자들의 CVE-2024-38213* 악용 사례가 다수 확인되어 관련 사례 중 GIE(Gas Infrastructure Europe) 2024 컨퍼런스 참가자들을 대상으로 한 캠페인 관련 파일들을 확보하여 분석

* CVE-2024-38213 : WebDEV 공유 파일을 사용자의 시스템에 복사/붙여넣기 시 Mark-of-the-Web 보호 기능이 적용되지 않는 취약점 (신뢰할 수 없는 파일 실행에 대한 윈도우 보안 경고 우회 가능)

○ 공격자는 악성 HTML 파일이 첨부된 스피어피싱 메일을 통해 사용자의 행위 유도하여 CVE-2024-38213 발현시켜 악성 LNK 파일을 보안 경고 없이 실행

○ 최종 악성코드로 정보 탈취형 악성코드 LummaC2가 사용된 것으로 확인

•

브라우저, 메신저, 파일 및 비밀번호 관리 프로그램 관련 파일에서 사용자 정보를 탈취

[그림 1] 공격 흐름도

[IG-25-4005-O] 러시아 위협 행위자의 GIE 컨퍼런스 공격 캠페인 : Russia Threat Actor’s GIE Conference Attack Campaign

1. 개요

○ 북한발 해킹그룹이 사용하는 것으로 알려진 PebbleDash 악성코드 확보하여 기능 파악을 위해 분석 진행

•

PebbleDash는 과거 Lazarus 그룹에서 사용했으나 최근에는 Kimsuky 그룹에서 사용한 정황 발견됨

○ PebbleDash의 설정 데이터 작성, 지속성 유지 및 실행을 위해, 앞서 로더 등의 다른 악성코드를 실행하는 공격이 있었을 것으로 추정

•

Kimsuky 그룹은 스피어피싱 메일의 첨부 파일을 통해 악성코드를 유포하는 것으로 알려짐

○ PebbleDash는 백도어 악성코드로 C&C 서버와의 통신을 통해 정보 탈취, 명령어 실행 등을 비롯한 총 28가지의 명령을 수행

•

추가로 원격제어 또는 VNC 악성코드를 다운로드하여 실행하는 것으로도 알려짐

[IG-25-4006-O] 북한발 PebbleDash 백도어 악성코드 분석 : DPRK PebbleDash Malware Analysis

1. 개요

○ 최근 북한 위협 행위자들이 IT 개발자로 위장 취업을 하려는 공격 행위가 증가하고 있는 가운데, 위장 취업을 목적으로 사용된 것으로 추정되는 Github계정 2건(CryptoNinja0331, ican0220)의 분석을 진행했습니다.

CryptoNinja0331 - Overview

Full Stack + CMS + Web3+Blockchain. CryptoNinja0331 has 78 repositories available. Follow their code on GitHub.

https://github.com/CryptoNinja0331

ican0220 - Overview

React |Next . ican0220 has 30 repositories available. Follow their code on GitHub.

https://github.com/ican0220

[IG-25-2008-O] Github를 통한 북한 IT 개발자 위장 취업 캠페인 : North Korean IT Developer Fake Employment Campaign via Github

DPRK

Github

위장취업

Ramsay

ican0220

CryptoNinja0331

정보도용

2025/02/18

GyeongRyeol Kim

1. 개요

○ 2024.12.25. NTT Security Holdings에서 북한 위협 행위자가 Contagious Interview 캠페인*에 사용한 OtterCookie 악성코드 분석내용 일부 공개

* 2023.11.21 Palo Alto에서 명명한 IT기업에 취업을 원하는 구직자를 대상으로 하는 공격 캠페인

○ BeaverTail, Invisible Ferret을 이용해 정보 탈취 및 백도어 등을 수행하는 기존 사례*에 더해 Loader 및 새로운 유형의 악성코드를 사용한 특징 발견됨

•

새로운 유형의 OtterCookie 악성코드는 시스템 정보 탈취, 백도어, 클립보드 캡쳐 기능 수행

[그림 1] 금번 Contagious Interview 캠페인 사례 공격 흐름도

[IG-25-4004-O] 북한 위협 행위자 Contagious Interview 캠페인 분석(Analyzing the North Korean Threat Actor Interview Campaign) : BeaverTail, OtterCookie Malware Analysis

1. 개요

○ VirusTotal(VT)에서 CVE-2024-43572*를 악용한 MSC 파일 1건 확보하여 분석 진행

* CVE-2024-43572: Microsoft Management Console(MMC)의 원격 코드 실행(RCE) 취약점

○ 중국 APT 그룹 Mustang Panda에서 사용하는 PUBLOAD 악성코드로 판단되며, C2 통신을 통해 PlugX, CobaltStrike, TONESHELL 등의 추가 악성코드 유포할 것으로 추정

- 초대장 문서로 위장한 악성 MSC 파일 실행 시 취약점 발현되어 악성 행위 수행

- 최종적으로 시스템 기본 정보 탈취 및 추가 악성코드 다운받아 실행하는 동작 수행

[그림 1] 공격 흐름도

[IG-25-4002-O] 중국 해킹그룹 Mustang Panda MSC 악성파일 분석 : Chinese Threat Actor Mustang Panda analysis of MSC malware

1. 개요

○ 온라인 광고를 통해 사용자를 가짜 CAPTCHA* 페이지로 유도하여 악성코드를 배포하는 fakeCAPTCHA 멀버타이징 캠페인 관련 악성 파일을 확보하여 분석

*CAPTCHA : 접속한 사용자가 봇인지 사람인지 구분하기 위한 테스트 페이지

○ 정상 페이지와 유사하게 제작된 가짜 페이지는 인증을 가장하여 사용자가 직접 키보드 단축키를 사용해 악성 명령어를 실행시키도록 유도

○ AutoIt으로 작성된 로더는 최종 악성코드 LummaC2* 인포스틸러를 파일리스 방식으로 실행

*LummaC2 : Malware-as-a-Service로 다크웹에서 판매되고 있는 정보 탈취형 악성코드

•

시스템 내의 브라우저, 메신저, 파일 및 비밀번호 관리, 원격 접속 프로그램 관련 파일에서 사용자 정보를 추출하여 탈취

[IG-25-4003-O] fakeCAPTCHA 멀버타이징 악성코드 분석 : fakeCAPTCHA malvertising malware analysis

Executive Summary

•

(Attack Overview) 2024년 6월, 북한 위협 그룹인 APT37(Scarcruft)이 JScript9.dll 내의 CVE-2024-38178취약점을 악용하여 한국 내 특정 조직을 대상으로 공격을 수행한 내용이 포착

•

(Using Vulnerability) 2020년 11월 공개된 CVE-2022-41128을 우회하는 Type Confusion 취약점 CVE-2024-38178을 사용
- CVE-2024-38178은 JScript9.dll의 JIT 엔진이 일반 산술 변환 예외 연산자로 초기화된 변수에 잘못된 최적화를 수행하면서 발생하는 ‘Type Confusion 취약점’으로, 2022년 11월에 공개된 CVE-2022-41128 패치를 우회한 공격
- CVE-2022-41128은 2022년 북한 배후의 위협 그룹이 악용한 것으로 미루어 공격자들이 취약점을 무기화(Weaponization)했을 가능성이 높으며, 공격자는 해당 취약점으로 Windows시스템에 RCE(Remote Code Execution)이 가능

•

(Distribution Methods) 국내 광고 대행사 중 한 업체의 광고 서버를 해킹한 후, Toast 광고 프로그램에 전달되는 HTML 코드(ad_toast.html)에 악성 iframe을 삽입하여 경유지를 통해 취약점 Exploit 코드가 포함된 JavaScript가 로드 되도록 변조 후 유포

•

(Action) 악성 스크립트 다운로드 후 Ruby 기반의 악성 스크립트를 통해 최종적으로 ROKRAT를 실행하여 클라우드 스토리지(Yandex, pCloud)로 정보 탈취 및 데이터 업로드·다운로드 수행

•

(Mitigation) 영향받는 버전의 Windows 사용 시 Windows 2024년 8월 이후 누적 업데이트 적용 또는 Microsoft Edge의 Internet Explorer 모드 비활성화 

Reference

본 문서에는 공개된 정보를 기반으로 작성됨에 따라 하기 자료를 토대로 작성되었음을 밝힙니다.

Analyzing the North Korean hacking group APT37 (Scarcruft) attack with CVE-2024-38178 : Operation Code On Toast

CVE

APT37

ScarCruft

CVE-2024-38178

CVE-2022-41128

Type Confusion

Ruby

RokRAT

Malware

DPRK

2024/10/23

Wonbo Oh

GyeongRyeol Kim

1. 개요

2. 대응방안

3. 분석

New DPRK Report Templates

Nation-State Cyber Actors Analysis Report

1. 개요

1. 개요

1. 개요

2. 대응방안

1. 개요

1. 공격개요

1. 개요

1. 개요

1. 개요

1. 개요

1. 개요

목차

1. 개요

1. 개요

1. 개요

1. 개요

Executive Summary

Reference

1. 개요

2. 대응방안

3. 분석