자산 관리 프로그램을 악용한 공격 정황 포착 (Andariel 그룹)
Contents
ASEC 분석팀은 Lazarus 그룹과 협력 관계이거나 하위 조직으로 알려진 Andariel 위협 그룹이 최근 특정 자산 관리 프로그램을 이용한 공격을 통해 악성코드를 유포하고 있는 정황을 확인하였다.
Andariel 그룹은 최초 침투 과정에서 주로 스피어 피싱 공격이나 워터링 홀 공격 그리고 공급망 공격을 이용하며, 이외에도 악성코드 설치 과정에서 중앙 관리 솔루션을 악용하는 사례도 존재한다. 최근에는 Log4Shell 및 Innorix Agent 등 여러 프로그램에 대한 취약점들을 이용하여 국내 다양한 기업군에 공격을 해오고 있다. [1]
이번에 확인된 공격은 국내의 또 다른 자산 관리 프로그램이 사용되었으며, 이외에도 MS-SQL 서버를 대상으로 한 공격도 동시에 확인되었다. 이러한 공격을 통해 설치된 악성코드들로는 TigerRat뿐만 아니라 NukeSped 변종, Black RAT, 오픈 소스 악성코드인 Lilith RAT 등 다양한 악성코드들이 존재한다. 공격 대상으로 확인된 국내 통신 업체, 반도체 제조업 등 기존 공격 대상 사례들과 유사하다.
1. 최초 침투 단계
최근 국내 특정 자산 관리 프로그램이 Andariel 그룹의 악성코드들을 설치한 로그가 자사 AhnLab Smart Defense (ASD) 로그에서 확인되었다. 물론 해당 로그만으로는 취약점을 이용한 공격인지 단순한 악용인지는 알 수 없다. …
Andariel 그룹은 최초 침투 과정에서 주로 스피어 피싱 공격이나 워터링 홀 공격 그리고 공급망 공격을 이용하며, 이외에도 악성코드 설치 과정에서 중앙 관리 솔루션을 악용하는 사례도 존재한다. 최근에는 Log4Shell 및 Innorix Agent 등 여러 프로그램에 대한 취약점들을 이용하여 국내 다양한 기업군에 공격을 해오고 있다. [1]
이번에 확인된 공격은 국내의 또 다른 자산 관리 프로그램이 사용되었으며, 이외에도 MS-SQL 서버를 대상으로 한 공격도 동시에 확인되었다. 이러한 공격을 통해 설치된 악성코드들로는 TigerRat뿐만 아니라 NukeSped 변종, Black RAT, 오픈 소스 악성코드인 Lilith RAT 등 다양한 악성코드들이 존재한다. 공격 대상으로 확인된 국내 통신 업체, 반도체 제조업 등 기존 공격 대상 사례들과 유사하다.
1. 최초 침투 단계
최근 국내 특정 자산 관리 프로그램이 Andariel 그룹의 악성코드들을 설치한 로그가 자사 AhnLab Smart Defense (ASD) 로그에서 확인되었다. 물론 해당 로그만으로는 취약점을 이용한 공격인지 단순한 악용인지는 알 수 없다. …
IoC
01ccce480c60fcdb67b54f4509ffdb56
0414a2ab718d44bf6f7103cff287b312
109.248.150.147
13b4ce1fc26d400d34ede460a8530d93
185.29.8.108
232586f8cfe82b80fd0dfa6ed8795c56
27.102.115.207
27.102.118.204
27.102.128.152
33a3da2de78418b89a603e28a1e8852c
3a0c8ae783116c1840740417c4fbe678
3d2ec58f37c8176e0dbcc47ff93e5a76
4053ca3e37ed1f8d37b29eed61c2e729
41895c5416fdc82f7e0babc6bb6c7216
4896da30a745079cd6265b6332886d45
49bb2ad67a8c5dfbfe8db2169e6fa46e
73eb2f4f101aab6158c615094f7a632a
7f33d2d2a2ce9c195202acb59de31eee
84.38.132.67
ad6d4eb34d29e350f96dc8df6d8a092e
beb199b15bd075996fa8d6a0ed554ca8
c1f266f7ec886278f030e7d7cd4e9131
c2f8c9bb7df688d0a7030a96314bb493
ca564428a29faf1a613f35d9fa36313f
dc70dc9845aa747001ebf2a02467c203
dd7b696b96434d2bf07b34f9c125d51d
e1afd01400ef405e46091e8ef10c721c
fe25c192875ec1914b8880ea3896cda2
http://109.248.150.147:443
http://109.248.150.147:8080
http://109.248.150.147:8443
http://109.248.150.147:8585/load.html
http://109.248.150.147:8585/load.png
http://109.248.150.147:8585/view.php
http://185.29.8.108:3443
http://185.29.8.108:443
http://185.29.8.108:4443
http://185.29.8.108:8080
http://185.29.8.108:8081
http://185.29.8.108:8443
http://185.29.8.108:8585/load.html
http://185.29.8.108:8585/view.php
http://27.102.115.207:8088
http://27.102.118.204:6099/fav.ico
http://27.102.118.204:8081
http://27.102.128.152:8098/load.png
http://84.38.132.67:8443
http://84.38.132.67:9479/fav.ico
http://84.38.132.67:9479/netpass.png
0414a2ab718d44bf6f7103cff287b312
109.248.150.147
13b4ce1fc26d400d34ede460a8530d93
185.29.8.108
232586f8cfe82b80fd0dfa6ed8795c56
27.102.115.207
27.102.118.204
27.102.128.152
33a3da2de78418b89a603e28a1e8852c
3a0c8ae783116c1840740417c4fbe678
3d2ec58f37c8176e0dbcc47ff93e5a76
4053ca3e37ed1f8d37b29eed61c2e729
41895c5416fdc82f7e0babc6bb6c7216
4896da30a745079cd6265b6332886d45
49bb2ad67a8c5dfbfe8db2169e6fa46e
73eb2f4f101aab6158c615094f7a632a
7f33d2d2a2ce9c195202acb59de31eee
84.38.132.67
ad6d4eb34d29e350f96dc8df6d8a092e
beb199b15bd075996fa8d6a0ed554ca8
c1f266f7ec886278f030e7d7cd4e9131
c2f8c9bb7df688d0a7030a96314bb493
ca564428a29faf1a613f35d9fa36313f
dc70dc9845aa747001ebf2a02467c203
dd7b696b96434d2bf07b34f9c125d51d
e1afd01400ef405e46091e8ef10c721c
fe25c192875ec1914b8880ea3896cda2
http://109.248.150.147:443
http://109.248.150.147:8080
http://109.248.150.147:8443
http://109.248.150.147:8585/load.html
http://109.248.150.147:8585/load.png
http://109.248.150.147:8585/view.php
http://185.29.8.108:3443
http://185.29.8.108:443
http://185.29.8.108:4443
http://185.29.8.108:8080
http://185.29.8.108:8081
http://185.29.8.108:8443
http://185.29.8.108:8585/load.html
http://185.29.8.108:8585/view.php
http://27.102.115.207:8088
http://27.102.118.204:6099/fav.ico
http://27.102.118.204:8081
http://27.102.128.152:8098/load.png
http://84.38.132.67:8443
http://84.38.132.67:9479/fav.ico
http://84.38.132.67:9479/netpass.png