메시에이전트 C2 탐지: 잠재적 악성코드 공격을 예방하는 방법
Contents
최근 북한 해킹 그룹 안다리엘(Andariel)이 메시에이전트(MeshAgent) C2 서버를 이용하여 한국 기업에 악성코드를 유포한 사건이 발생했다. 안다리엘은 “fav.ico”라는 이름으로 메시에이전트 C2 서버를 외부 소스에서 다운로드 받고, 측면 이동 과정에서 안다르로더(AndarLoader), 모드로더(ModeLoader)와 같은 악성코드를 공격 대상에 배포한 것으로 알려졌다.
메시에이전트는 원격 제어를 위한 기본 정보 수집, 명령 실행, RDP 및 VNC 기능, 전원 및 계정 제어 등 다양한 기능을 제공하는 원격 관리 도구이다. 안다리엘의 메시에이전트 악용은 처음으로 알려져 있지만, 메시에이전트 C2 서버를 이용한 사이버 공격은 자주 발생되어 왔다. 안다리엘 또한 일반적으로 공격 대상에 설치되어 있는 소프트웨어를 악용하거나 취약점 공격을 통해 악성코드를 배포하는 해킹 그룹으로, 앞으로 메시에이전트를 이용한 사이버 공격이 더욱 늘어날 우려가 있다.
외부에 노출된 메시에이전트 C2 서버 탐지
검색엔진 Criminal IP에서는 메시에이전트 C2 서버가 설치된 IP 주소를 태깅하고 있기 때문에 Asset Search에서 tag 필터를 활용하여 메시에이전트 C2 서버를 찾아보았다.
Search Query: tag: “c2_meshagent”
메시에이전트 C2 서버는 총 2,136대 탐지되었으며, 이 중 몇몇 서버는 공격자가 공격을 위해 악의적으로 설치한 흔적일 수 있다. 또한, 앞으로 메시에이전트를 이용한 사이버 …
메시에이전트는 원격 제어를 위한 기본 정보 수집, 명령 실행, RDP 및 VNC 기능, 전원 및 계정 제어 등 다양한 기능을 제공하는 원격 관리 도구이다. 안다리엘의 메시에이전트 악용은 처음으로 알려져 있지만, 메시에이전트 C2 서버를 이용한 사이버 공격은 자주 발생되어 왔다. 안다리엘 또한 일반적으로 공격 대상에 설치되어 있는 소프트웨어를 악용하거나 취약점 공격을 통해 악성코드를 배포하는 해킹 그룹으로, 앞으로 메시에이전트를 이용한 사이버 공격이 더욱 늘어날 우려가 있다.
외부에 노출된 메시에이전트 C2 서버 탐지
검색엔진 Criminal IP에서는 메시에이전트 C2 서버가 설치된 IP 주소를 태깅하고 있기 때문에 Asset Search에서 tag 필터를 활용하여 메시에이전트 C2 서버를 찾아보았다.
Search Query: tag: “c2_meshagent”
메시에이전트 C2 서버는 총 2,136대 탐지되었으며, 이 중 몇몇 서버는 공격자가 공격을 위해 악의적으로 설치한 흔적일 수 있다. 또한, 앞으로 메시에이전트를 이용한 사이버 …
IoC
https://www.criminalip.io/ko