한국에서만 활동하는 안다리엘 그룹, 지난 2년간의 행적
Contents
안다리엘(Andariel) 그룹은 2008년부터 우리나라에서 활동하고 있는 위협 그룹으로 북한의 지원을 받고 있는 것으로 의심되며, 라자루스(Lazarus) 그룹의 협력 혹은 하위 그룹으로 추정된다. 연구자에 따라 안다리엘 그룹을 라자루스 그룹과 구분하지 않는 경우도 있다. 본 보고서에서는 2020년에서 2021년까지 Andariel 그룹의 활동과 관련된 악성코드의 특징을 정리했다.
2008년부터 우리나라를 공격해온 안다리엘 그룹은 2013년 3.20 전산망 장애, 2014년 - 2015년 오퍼레이션 블랙 마인(Operation Black Mine), 2016년에는 대기업 전산망과 군을 해킹한 바 있다. 주 공격 대상은 군, 방위산업, 정치기구, 보안업체, ICT 업체, 에너지연구소 등이며 2017년 이후에는 도박 게임 사용자, ATM, 금융권, 여행사, 가상 화폐 거래소 사용자 등을 대상으로 금전적 이득을 위한 공격도 시도했다.
공격 방법으로는 주로 매크로(Macro)를 이용한 스피어 피싱(Spear Phishing), 액티브 엑스(Active-X) 취약점을 이용한 워터링 홀(Watering Hall), 보안 및 자산 관리 프로그램 등의 IT 관리 시스템 취약점, 공급망 등을 활용한다. 국내 IT 환경을 잘 파악하고 있으며 한국에서 사용되는 다양한 소프트웨어의 제로데이 취약점을 이용해 공격을 수행한다.
안다리엘은 아리안(Aryan), 고스트랫(Ghostrat) 등 알려진 외부 백도어 뿐 아니라 안다랫(Andarat), 안다랫엠(Andaratm), 리프도어(Rifdoor), 판도어(Phandoor) 등 …
2008년부터 우리나라를 공격해온 안다리엘 그룹은 2013년 3.20 전산망 장애, 2014년 - 2015년 오퍼레이션 블랙 마인(Operation Black Mine), 2016년에는 대기업 전산망과 군을 해킹한 바 있다. 주 공격 대상은 군, 방위산업, 정치기구, 보안업체, ICT 업체, 에너지연구소 등이며 2017년 이후에는 도박 게임 사용자, ATM, 금융권, 여행사, 가상 화폐 거래소 사용자 등을 대상으로 금전적 이득을 위한 공격도 시도했다.
공격 방법으로는 주로 매크로(Macro)를 이용한 스피어 피싱(Spear Phishing), 액티브 엑스(Active-X) 취약점을 이용한 워터링 홀(Watering Hall), 보안 및 자산 관리 프로그램 등의 IT 관리 시스템 취약점, 공급망 등을 활용한다. 국내 IT 환경을 잘 파악하고 있으며 한국에서 사용되는 다양한 소프트웨어의 제로데이 취약점을 이용해 공격을 수행한다.
안다리엘은 아리안(Aryan), 고스트랫(Ghostrat) 등 알려진 외부 백도어 뿐 아니라 안다랫(Andarat), 안다랫엠(Andaratm), 리프도어(Rifdoor), 판도어(Phandoor) 등 …