home
블로그
home
Nation-State Cyber Actors Analysis Report
Security Issue
home
📜

Nation-State Cyber Actors Analysis Report

중국, 북한, 러시아 등 국가 기반의 위협 행위에 대한 분석 보고서를 확인할 수 있습니다.

1. 개요

○ 최근 중국 사이버 보안 회사 i-SOON에서 유출된 내부 문서에서 ShadowPad가 사용한 C2 인프라가 발견됨에 따라 APT41 그룹과의 연관성이 제기*되어 ShadowPad를 통해 중국발 사이버 공격 메커니즘을 통한 예방을 위해 관련 분석내용 공유
[그림 1] exe, dll, dat 구성의 ShadowPad 실행 흐름도
[IG-25-4033-CLEAR] 중국 APT41그룹 ShadowPad 악성코드 분석(2차) : EXE, DLL, DAT 기반 ShadowPad 기능 및 행위 분석

1. 개요

○ 최근 중국 사이버 보안 회사 i-SOON에서 유출된 내부 문서에서 ShadowPad가 사용한 C2 인프라가 발견됨에 따라 APT41 그룹과의 연관성이 제기*되어 ShadowPad를 통해 중국발 사이버 공격 메커니즘을 통한 예방을 위해 관련 분석내용 공유
[IG-25-4031-CLEAR] 중국 APT41그룹 ShadowPad 악성코드 분석(1차) : EXE, DLL 기반 ShadowPad 기능 및 행위 분석

1. 개요

○ 계약서, 송장, 주문서 등 업무에 사용되는 문서 파일로 위장한 악성 MSC 파일이 최근 다수 발견되어 분석내용 공유
MSC 기반의 악성코드는 북한 해킹그룹 김수키(Kimsuky)나 중국 해킹그룹 머스탱 판다(Mustang Panda)에서 사용했으며, 최근에는 MaaS(Malware-as-a-Service) 유형의 악성코드 유포에 자주 사용됨
○ MSC 파일 실행 시 C2에 접근해 악성 RAR 파일을 다운로드 하는 과정을 2번 거친 후 최종적으로 정보 탈취 및 RAT 악성코드(XWorm RAT, Stealerium)를 실행하여 각종 정보 탈취
[그림 1] 공격 흐름도

2. 대응방안

[IG-25-4028-CLEAR] 업무 문서로 위장한 악성 MSC파일 분석 : Malicious MSC file Disguised as a Business Document(XWorm RAT, Stealerium) Analysis
악성코드
MSC
XWorm RAT
Stealerium
InfoStealer
2025/06/03
GyeongRyeol Kim

1. 개요

북한 위협 행위자 Kimsuky가 ‘한국기계연구원’공격에 사용한 것으로 추정되는, 기유출된 CJ Olivenetworks 인증서 악용 악성코드 분석(공격에 사용된 Phishing정보는 미확인)
Kimsuky 그룹이 배후로 알려진 ‘Nexaweb* 인증서를 악용한 미국 방산 기업 채용 피싱’ 캠페인과 TTP(Tactic, Technique, Procedure) 유사성이 확인됨
* Nexaweb : 기업용 모바일, 태블릿, 데스크톱 및 웹 애플리케이션의 배포를 위한 소프트웨어 제공 기업
타임스탬프가 존재하는 인증서는 폐기되더라도 유효한 서명으로 인정되어 보안 시스템과 사용자의 신뢰를 쉽게 얻을 수 있어 주의가 필요
○ Kimsuky 그룹은 PebbleDash* 백도어 악성코드 등을 사용해 피해자 시스템 원격 제어 및 추가 악성 행위 수행하는 것으로 알려짐
* PebbleDash : 기문서 ‘[IG-25-4006-O] 북한발 PebbleDash 백도어 악성코드 분석 공유’ 참고
[그림 1] 공격 흐름도
[IG-25-4026-CLEAR] CJ Olivenetworks 인증서 악용 악성코드 분석 : 유출된 인증서를 악용한 Kimsuky 그룹의 피싱 캠페인
악성코드
북한
Malware
DPRK
Kimsuky
2025/05/30
Jeongtae Kim

1. 공격개요

○ 북한 해킹 그룹 Kimsuky가 스피어피싱을 통해 유포한 악성 LNK 파일 3건을 확보해 분석
C2의 포트(9992, 7648) 및 파일명, Google Drive 정보에 따라 2가지 유형으로 분류
○ 스피어피싱내 악성LNK를 통한 공격 시나리오(with 클라우드 스토리지)
1.
스피어피싱내 악성LNK파일 : .docx확장자와 아이콘으로 사용자 실행 유도
2.
클라우드 스토리지 이용한 정보 수집 및 정찰 : Dropbox와 Google Drive를 이용해 시스템 정보 탈취 코드 다운로드 및 실행 → 수집된 시스템 정보 업로드
3.
Powershell백도어로 추가 악성코드 실행 : C2에서 명령어를 즉시 혹은 반복 실행기능 있는 Powershell백도어 다운로드 후, Run레지스트리 및 작업 스케줄러 등록으로 지속성 확보 후 추가 악성코드 실행
4.
PebbleDash와 RDP Wrapper로 원격실행 : 최종 악성코드로 PebbleDash* 백도어와 오픈소스 원격 접속 도구 RDP Wrapper를 활용해 피해자 시스템 원격 제어 및 추가 악성 행위 수행
* 기문서 “[IG-25-4006-O] 북한발 PebbleDash 백도어 악성코드 분석 공유”에서 상세분석 확인 가능
[그림 1] 공격 흐름도

2. 대응방안

○ 메일 열람 시 발신자 메일주소, 첨부된 링크 및 파일 등 신중히 확인 필요
○ 악성 실행 파일은 문서로 위장한 경우가 많아 파일 실행 시 아이콘, 확장자, 유형 등 확인 필요
[IG-25-4009-O] 북한 Kimsuky그룹의 스피어피싱을 통한 악성 LNK파일 : Powershell 백도어 설치 및 RCE 공격 절차 분석 : Malicious LNK through spear phishing by North Korea's Kimsuky Group: Analysis of Powershell backdoor installation and RCE attack procedures
악성코드
북한
Kimsuky
Konni
Malware
DPRK
2025/05/19
Jeongtae Kim

1. 개요

○ 북한위협 행위자(Konni, Kimsuky) 유포로 추정되는 바로가기(*.LNK)파일 4종 확보
C2, 코드 구조, 난독화 방식의 유사성에 따라 모듈화된 batch 파일 사용, 정상 프로세스를 복사해 사용, *.db로 위장한 *.bat 사용의 3가지 유형으로 분류
○ 특히 Konni그룹이 유포 중인 ‘유형A’는, 다른 유형보다 더 정교한 형태의 공격을 수행
현재 시간을 키로 통신에 사용되는 주소의 일부를 암호화하여 주소를 유동적으로 변경
시스템 정보를 탈취한 후 %COMPUTERNAME%을 사용해 타겟을 선정하여 추가 악성코드를 배포
○ Kimsuky와 Konni 그룹은 PebbleDash 백도어와 RAT 계열 악성코드 등을 사용해 피해자 시스템 원격 제어 및 추가 악성 행위 수행하는 것으로 알려짐
공격 흐름도

2. 대응방안

○ 악성 실행 파일은 문서로 위장한 경우가 많아 파일 실행 시 아이콘, 확장자, 유형 등 확인 필요
확장자 확인을 위해 “폴더 옵션 > 보기 탭 > 알려진 파일 형식의 파일 확장명 숨기기” 체크 해제

3. LNK기반 악성코드와 공격그룹 간의 연관성 분석

[IG-25-4018-O] 북한발 위협 행위자 관련 LNK 기반 악성파일 분석 : LNK를 이용한 Konni과 Kimsuky 공격 매커니즘 분석 : Analysis of LNK related to North Korean threat actors: Analysis of Konni and Kimsuky attack mechanisms using LNK
악성코드
북한
DPRK
Kimsuky
Konni
Malware
2025/05/19
Jeongtae Kim

1. 개요

○ 북한 해킹 그룹 Lazarus가 사용한 IP Messenger(IPMsg)* 설치 파일로 위장한 악성코드 확보 후 분석
* IP Messenger : 동일한 네트워크 사용자간 채팅 및 파일 전송 등을 지원하는 무료 네트워크 메신저
○ 악성 설치 파일은 정상 설치 파일과 동일한 파일명 사용하고, 악성 행위 수행 전 정상 설치 파일을 생성 및 실행해 사용자로부터 악성코드 실행을 은폐
○ 여러 악성 DLL들을 파일리스 방식으로 실행해 최대 3개의 C2 서버와 지속적인 통신이 가능하며 유사 백도어처럼 동작하는 것으로 분석
각 DLL 파일은 샌드박스나 자동화 도구에서 단독으로 실행되는 것을 막기 위한 안티리버싱 코드가 존재해 악성코드 분석 방해 및 검사 우회를 시도
○ C2로부터 ZIP 파일로 압축된 악성 DLL을 다운로드 및 실행하여 추가 악성 행위를 수행
[그림 1] 공격 흐름도

2. 대응방안

○ 신뢰할 수 없는 사이트에서의 파일 다운로드 자제 및 공식 다운로드 페이지 이용
○ 다운로드한 파일의 해시 값과 제조사에서 제공하는 해시 값 비교를 통한 무결성 검증

3. 악성코드 상세분석

[IG-25-4007-O] 북한 Lazarus 그룹의 IPMsg 설치 파일 위장 악성코드 분석 : Analysis of Malware Disguised as IPMsg Installation File of North Korea's Lazarus Group
악성코드
북한
DPRK
Lazarus
2025/05/16
Jeongtae Kim

1. 개요

○ 2025.04.04. Socket Inc.에서 북한 위협 행위자가 Contagious Interview 캠페인*의 일부로 사용한 BeaverTail 악성코드의 추가 유포 방식 공개
* 2023.11.21 Palo Alto에서 명명한 IT기업에 취업을 원하는 구직자를 대상으로 하는 공격 캠페인
BeaverTail 악성코드를 포함한 JavaScript 코드를 난독화해 npm 패키지에 포함한 후 유포하는 기존 방식 외에도, JavaScript 코드 내에 16진수(HEX) 형태로 인코딩된 C2 주소를 디코딩해 명령을 요청하는 새로운 방식 발견
기존 유포 경로인 npm, GitHub 외 Bitbucket을 추가로 활용하며 공격 경로 다변화 시도
○ 유포된 악성 npm 패키지는 ‘Phantom Circuit*’에서 사용된 C2 서버와 동일한 IP 및 포트 사용하고 있으며, 여러 악성 패키지 간 C2 인프라 비교 결과 동일한 포트 사용 및 유사한 URI 구조가 확인
* 북한 위협 행위자인 Lazarus가 개발자와 가상화폐 업계 종사자를 대상으로 하는 정보 탈취 캠페인
○ 최근 Lazarus는 악성 패키지를 이용한 npm기반의 공격범위와 대상이 확장되는 추세
No
기간
캠페인
공격 요약
1
2023-03~
Contagious Interview
소프트웨어 개발자 대상으로 코드 저장소를 통해 로더(BeaverTail)를 유포 후, 백도어(Invisible Ferret) 추가 설치 후 정보 탈취
2
2024-09~ 2025-01
Phantom Circuit
개발자와 가상화폐 업계 종사자 대상으로 합법적인 오픈소스 소프트웨어(암호화폐 및 Web3 관련 프로젝트)를 변조해 백도어를 삽입·유포 후 정보 탈취
3
2025-02~
ClickFake Interview
개발자와 가상화폐 업계 종사자 대상으로 코드 저장소를 통해 백도어(GolangGhost) 유포 후 정보 탈취
[표 1] Lazarus가 진행한 개발자 대상 공급망 공격 캠페인

2. 대응방안

○ GitHub, npm, Bitbucket 등의 코드 저장소를 통한 파일 다운로드 시 해당 저장소 및 계정의 신뢰도 파악 필요
오픈소스 프로그램 사용 시 최신 보안 패치가 적용된 공식 배포판 사용
[IG-25-4012-O] 북한 위협 행위자 Contagious Interview 캠페인 분석(2보):(Analyzing the North Korean Threat Actor Interview Campaign) : BeaverTail Malware Analysis
Malware
DPRK
NPM
Javascript
InfoStealer
가상자산
Github
Contagious Interview
2025/05/13
Wonbo Oh

1. 개요

○ 러시아 위협 행위자들의 CVE-2024-38213* 악용 사례가 다수 확인되어 관련 사례 중 GIE(Gas Infrastructure Europe) 2024 컨퍼런스 참가자들을 대상으로 한 캠페인 관련 파일들을 확보하여 분석
* CVE-2024-38213 : WebDEV 공유 파일을 사용자의 시스템에 복사/붙여넣기 시 Mark-of-the-Web 보호 기능이 적용되지 않는 취약점 (신뢰할 수 없는 파일 실행에 대한 윈도우 보안 경고 우회 가능)
○ 공격자는 악성 HTML 파일이 첨부된 스피어피싱 메일을 통해 사용자의 행위 유도하여 CVE-2024-38213 발현시켜 악성 LNK 파일을 보안 경고 없이 실행
○ 최종 악성코드로 정보 탈취형 악성코드 LummaC2가 사용된 것으로 확인
브라우저, 메신저, 파일 및 비밀번호 관리 프로그램 관련 파일에서 사용자 정보를 탈취
[그림 1] 공격 흐름도
[IG-25-4005-O] 러시아 위협 행위자의 GIE 컨퍼런스 공격 캠페인 : Russia Threat Actor’s GIE Conference Attack Campaign
악성코드
Russia
CVE
CVE-2024-38213
2025/05/12
Jeongtae Kim

1. 개요

○ 북한발 해킹그룹이 사용하는 것으로 알려진 PebbleDash 악성코드 확보하여 기능 파악을 위해 분석 진행
PebbleDash는 과거 Lazarus 그룹에서 사용했으나 최근에는 Kimsuky 그룹에서 사용한 정황 발견됨
○ PebbleDash의 설정 데이터 작성, 지속성 유지 및 실행을 위해, 앞서 로더 등의 다른 악성코드를 실행하는 공격이 있었을 것으로 추정
Kimsuky 그룹은 스피어피싱 메일의 첨부 파일을 통해 악성코드를 유포하는 것으로 알려짐
○ PebbleDash는 백도어 악성코드로 C&C 서버와의 통신을 통해 정보 탈취, 명령어 실행 등을 비롯한 총 28가지의 명령을 수행
추가로 원격제어 또는 VNC 악성코드를 다운로드하여 실행하는 것으로도 알려짐
[그림 1] PebbleDash 악성코드를 사용한 예상 공격 흐름도

2. 대응방안

○ 메일 열람 시 발신자 메일주소, 첨부된 링크 및 파일 등 신중히 확인 필요
○ 악성 실행 파일은 문서로 위장한 경우가 많아 파일 실행 시 아이콘, 확장자, 유형 등 확인 필요
확장자 확인을 위해 “폴더 옵션 > 보기 탭 > 알려진 파일 형식의 파일 확장명 숨기기” 체크 해제 권장
[IG-25-4006-O] 북한발 PebbleDash 백도어 악성코드 분석 : DPRK PebbleDash Malware Analysis
악성코드
PebbleDash
Backdoor
Kimsuky
DPRK
2025/05/08
GyeongRyeol Kim

목차

1. 개요

○ 각 계정의 특정 리포지터리에서 발견된 위장 취업에 사용된 것으로 추정되는 데이터를 분석한 결과 도출된 위장 취업 캠페인의 매커니즘은 다음과 같습니다.
절차
주요 키워드
IT개발자 위장 취업을 위한 상세 절차
1
타깃선정
개발 분야 종목별 시장 조사 후 취업 대상 분야 선정
2
위장취업 자료 준비
위장 취업에 필요한 이력서, 포트폴리오, 이메일 계정 등을 준비
3
위조계정의 페르소나를 통한 구직활동
타인의 개인정보를 도용하여 신규 생성한 위장 계정으로 프리랜서 구인구직 사이트 등을 통해 구직활동 수행
4
원격도구 사용
VPN, VPS, 협업 도구, 원격 제어 도구 등을 이용하여 업무 수행
5
자금이체
임금 수령 후 가상자산 플랫폼을 이용해 자금 이체
[표 1] 개발자 위장 취업 프로세스
○ Github계정의 리포지터리에서 북한 개발자의 위장 취업시도 정황 증거들이 다수 발견됩니다.
1.
이력서에 사용될 위장 사진의 원본 얼굴 사진이 동양인의 특징을 띔
2.
위장 취업 준비 시 조직 단위로 작업 수행, 작업 수행원 이름 표기방식이 한국식 이름의 약어로 추정
3.
북한 IT 개발자들이 위장 취업 시 사용하는 것으로 알려진 Astrill VPN, Teamviewer, Anydesk 등의 프로그램 사용
4.
채용담당자로 위장해 접근 시 유포하는 것으로 알려진, 화상 회의 프로그램(Zoom)으로 위장한 악성 파일 발견됨
○ 최근 북한 개발자가 외화획득 및 정보탈취 등의 목적으로 타 국적으로 신분위조를 통해 위장취업 캠페인을 다수 시도 하고 있어서, 원격근무 및 재택근무환경의 기업의 채용담당자 및 구직자의 각별한 주의가 필요합니다.
[IG-25-2008-O] Github를 통한 북한 IT 개발자 위장 취업 캠페인 : North Korean IT Developer Fake Employment Campaign via Github
DPRK
Github
위장취업
Ramsay
ican0220
CryptoNinja0331
정보도용
2025/02/18
GyeongRyeol Kim

1. 개요

○ 2024.12.25. NTT Security Holdings에서 북한 위협 행위자가 Contagious Interview 캠페인*에 사용한 OtterCookie 악성코드 분석내용 일부 공개
* 2023.11.21 Palo Alto에서 명명한 IT기업에 취업을 원하는 구직자를 대상으로 하는 공격 캠페인
○ BeaverTail, Invisible Ferret을 이용해 정보 탈취 및 백도어 등을 수행하는 기존 사례*에 더해 Loader 및 새로운 유형의 악성코드를 사용한 특징 발견됨
새로운 유형의 OtterCookie 악성코드는 시스템 정보 탈취, 백도어, 클립보드 캡쳐 기능 수행
[그림 1] 금번 Contagious Interview 캠페인 사례 공격 흐름도
[IG-25-4004-O] 북한 위협 행위자 Contagious Interview 캠페인 분석(Analyzing the North Korean Threat Actor Interview Campaign) : BeaverTail, OtterCookie Malware Analysis
Malware
DPRK
Javascript
NPM
가상자산
InfoStealer
2025/02/03
GyeongRyeol Kim

1. 개요

○ VirusTotal(VT)에서 CVE-2024-43572*를 악용한 MSC 파일 1건 확보하여 분석 진행
* CVE-2024-43572: Microsoft Management Console(MMC)의 원격 코드 실행(RCE) 취약점
중국 APT 그룹 Mustang Panda에서 사용하는 PUBLOAD 악성코드로 판단되며, C2 통신을 통해 PlugX, CobaltStrike, TONESHELL 등의 추가 악성코드 유포할 것으로 추정
- 초대장 문서로 위장한 악성 MSC 파일 실행 시 취약점 발현되어 악성 행위 수행
- 최종적으로 시스템 기본 정보 탈취 및 추가 악성코드 다운받아 실행하는 동작 수행
[그림 1] 공격 흐름도
[IG-25-4002-O] 중국 해킹그룹 Mustang Panda MSC 악성파일 분석 : Chinese Threat Actor Mustang Panda analysis of MSC malware
CVE-2024-43572
Mustang Panda
PUBLOAD
GrimResource
Malware
2025/01/20
GyeongRyeol Kim

1. 개요

○ 온라인 광고를 통해 사용자를 가짜 CAPTCHA* 페이지로 유도하여 악성코드를 배포하는 fakeCAPTCHA 멀버타이징 캠페인 관련 악성 파일을 확보하여 분석
*CAPTCHA : 접속한 사용자가 봇인지 사람인지 구분하기 위한 테스트 페이지
정상 페이지와 유사하게 제작된 가짜 페이지는 인증을 가장하여 사용자가 직접 키보드 단축키를 사용해 악성 명령어를 실행시키도록 유도
AutoIt으로 작성된 로더는 최종 악성코드 LummaC2* 인포스틸러를 파일리스 방식으로 실행
*LummaC2 : Malware-as-a-Service로 다크웹에서 판매되고 있는 정보 탈취형 악성코드
시스템 내의 브라우저, 메신저, 파일 및 비밀번호 관리, 원격 접속 프로그램 관련 파일에서 사용자 정보를 추출하여 탈취
[그림 1] 공격 흐름도

2. 대응방안

○ 멀버타이징에 흔히 사용되는 무료, 크랙, 할인 관련 키워드의 광고 클릭 자제
○ 캡챠 페이지에서 키보드를 사용하는 행위를 요구하는 경우 신중히 확인 후 진행

3. 악성코드 상세분석

3.1 피싱 캡챠 페이지 분석

[IG-25-4003-O] fakeCAPTCHA 멀버타이징 악성코드 분석 : fakeCAPTCHA malvertising malware analysis
LummaC2
Malvertising
CAPTCHA
Autoit
InfoStealer
Malware
2025/01/20
Jeongtae Kim

Executive Summary

(Attack Overview) 2024년 6월, 북한 위협 그룹인 APT37(Scarcruft)이 JScript9.dll 내의 CVE-2024-38178취약점을 악용하여 한국 내 특정 조직을 대상으로 공격을 수행한 내용이 포착
(Using Vulnerability) 2020년 11월 공개된 CVE-2022-41128을 우회하는 Type Confusion 취약점 CVE-2024-38178을 사용 - CVE-2024-38178은 JScript9.dll의 JIT 엔진이 일반 산술 변환 예외 연산자로 초기화된 변수에 잘못된 최적화를 수행하면서 발생하는 Type Confusion 취약점’으로, 2022년 11월에 공개된 CVE-2022-41128 패치를 우회한 공격 - CVE-2022-41128은 2022년 북한 배후의 위협 그룹이 악용한 것으로 미루어 공격자들이 취약점을 무기화(Weaponization)했을 가능성이 높으며, 공격자는 해당 취약점으로 Windows시스템에 RCE(Remote Code Execution)이 가능
(Mitigation) 영향받는 버전의 Windows 사용 시 Windows 2024년 8월 이후 누적 업데이트 적용 또는 Microsoft Edge의 Internet Explorer 모드 비활성화

Reference

본 문서에는 공개된 정보를 기반으로 작성됨에 따라 하기 자료를 토대로 작성되었음을 밝힙니다.

1. Overview

1.1. Introduction

ScarCruft는 주로 해외 파견 근로자, 기자 및 선교사, 국내 대북 전문가 및 탈북자 등 북한 관련 인물들을 대상으로 해킹 메일이나 악성 모바일 앱(apk)을 유포하는 타깃형 공격을 통해 공격 대상의 휴대전화 기록, 데스크톱 기록, 메신저 채팅 기록 등의 탈취를 목적으로 한다.
과거 IE(Internet Explorer)의 취약점인 CVE-2022-41128(CVSS 8.8)을 악용한 대규모 공격을 진행하였으며, 이번 공격에서는 광고업계에서 ‘Toast 광고’로 불리는 무료 S/W 내 팝업광고 프로그램이 사용하는 IE 신규 취약점을 악용하였다. 해당 취약점(CVE-2024-38178, CVSS 7.5)은 Microsoft에서 2024년 8월 13일에 취약점 패치를 배포하였다.
Analyzing the North Korean hacking group APT37 (Scarcruft) attack with CVE-2024-38178 : Operation Code On Toast
CVE
APT37
ScarCruft
CVE-2024-38178
CVE-2022-41128
Type Confusion
Ruby
RokRAT
Malware
DPRK
2024/10/23
Wonbo Oh
GyeongRyeol Kim