lazarusholic

Everyday is lazarus.dayβ

개인을 도청하는 RedEyes 그룹 (APT37)

2023-06-12, Ahnlab
https://asec.ahnlab.com/ko/53851/
#RedEyes #CHM #GoAbly

Contents

1.개요
RedEyes(also known as APT37, ScarCruft, Reaper) 그룹은 국가 지원을 받는 APT 조직이며 주로 북한 이탈 주민, 인권 운동가, 대학 교수 등의 개인을 대상으로 공격을 수행한다. 이들의 임무는 특정인들의 일상을 감시하는 것으로 알려져 있다. ASEC(AhnLab Security Emergengy response Center)은 2023년 5월 RedEyes 그룹이 Ably 플랫폼을 악용한 Golang 백도어를 유포 및 마이크 도청 기능을 포함한 이전에 알려지지 않은 새로운 정보 유출 악성코드 사용 정황을 확인하였다.
* ABLY[1]는 실시간 데이터 전송 및 메시지를 위한 플랫폼이며 Pub/Sub 메시징, 푸시 알림, 실시간 쿼리, 상태 동기화를 수행할 수 있다.
공격자는 Ably 서비스를 이용하는 Golang 백도어로 명령을 전달하였으며, 명령 통신에 필요한 API 키 값을 Github 리포지토리에 저장하였다. 해당 API 키 값은 공격자의 채널과 통신을 위해 필요한 값이며 키 값을 알고 있으면 누구나 구독이 가능하다. 따라서 분석 당시 공격자가 사용한 일부 명령을 확인할 수 있었다.
ASEC은 이번 블로그를 통해 2023년 5월 RedEyes 그룹이 개인을 감시하기 위해 사용한 초기 침투 기법부터 권한 상승, 명령 제어 및 유출까지 각 공격 단계별로 공격자가 사용한 …

IoC

1352abf9de97a0faf8645547211c3be7
172.93.181.249
1c1136c12d0535f4b90e32aa36070682
3277e0232ed6715f2bae526686232e06
3c475d80f5f6272234da821cc418a6f7
59804449f5670b4b9b3b13efdb296abb
f44bf949abead4af0966436168610bcc
http://172.93.181.249/control/data/
http://172.93.181.249/control/html/1.html
http://172.93.181.249/file/