국내 보안 기업 코드 서명 인증서 유출: 북한 APT 그룹 연관성 조사
Contents
요약
2025년 2월 20일에 소만사가 국가 배후의 공격자에 의해 침해사고를 당해 코드 서명 인증서가 유출됐다는 기사가 보도됐다.
엔키화이트햇 위협연구팀은 바이러스 토탈에서 소만사의 코드 서명이 적용된 악성코드를 발견했고 분석 결과 북한 APT 그룹과의 연관성을 확인했다.
분석 과정에서 확인된 C&C 서버의 최상위 도메인이 p-e[.]kr이고, 이는 북한 APT 그룹이 자주 사용하는 도메인이다.
악성코드 Rich Header 연관성 분석 결과, 북한, 중국, 이란 APT 그룹이 사용한 악성코드와 동일한 product id, build id가 확인됐다. 이는 악성코드 빌드 환경간의 연관성을 시사하며, 이 중 북한 APT 그룹 악성코드와 높은 연관성이 확인됐다.
1. 개요
국내 정보보안 기업 소만사의 코드 서명 인증서 유출 사실이 알려지고, 바이러스 토탈에서 소만사 코드 서명 인증서가 적용된 악성코드를 발견하였다.
분석 결과 백도어 행위를 수행하는 악성코드로 확인되었으며 사용된 C&C 서버와 Rich Header를 기반으로 연관성을 추적한 결과, 북한 APT 그룹과의 연관성을 확인하였다.
본 글에서는 악성코드에 대한 분석과 북한 APT 그룹과의 연관성에 대한 내용을 다룬다.
2. 배경
2025년 2월 20일에 정보보안 기업 소만사가 국가 배후의 공격자에 의해 침해사고를 당해 코드 서명 인증서가 유출되었다는 기사가 …
2025년 2월 20일에 소만사가 국가 배후의 공격자에 의해 침해사고를 당해 코드 서명 인증서가 유출됐다는 기사가 보도됐다.
엔키화이트햇 위협연구팀은 바이러스 토탈에서 소만사의 코드 서명이 적용된 악성코드를 발견했고 분석 결과 북한 APT 그룹과의 연관성을 확인했다.
분석 과정에서 확인된 C&C 서버의 최상위 도메인이 p-e[.]kr이고, 이는 북한 APT 그룹이 자주 사용하는 도메인이다.
악성코드 Rich Header 연관성 분석 결과, 북한, 중국, 이란 APT 그룹이 사용한 악성코드와 동일한 product id, build id가 확인됐다. 이는 악성코드 빌드 환경간의 연관성을 시사하며, 이 중 북한 APT 그룹 악성코드와 높은 연관성이 확인됐다.
1. 개요
국내 정보보안 기업 소만사의 코드 서명 인증서 유출 사실이 알려지고, 바이러스 토탈에서 소만사 코드 서명 인증서가 적용된 악성코드를 발견하였다.
분석 결과 백도어 행위를 수행하는 악성코드로 확인되었으며 사용된 C&C 서버와 Rich Header를 기반으로 연관성을 추적한 결과, 북한 APT 그룹과의 연관성을 확인하였다.
본 글에서는 악성코드에 대한 분석과 북한 APT 그룹과의 연관성에 대한 내용을 다룬다.
2. 배경
2025년 2월 20일에 정보보안 기업 소만사가 국가 배후의 공격자에 의해 침해사고를 당해 코드 서명 인증서가 유출되었다는 기사가 …