한국 국가안보전략 싱크탱크 위장 APT37 공격 사례 분석 (작전명. 토이박스 스토리)
Contents
◈ 주요 요약 (Executive Summary)
- 한국 국가안보전략 싱크탱크의 학술회의 안내정보로 위장해 관심끌기
- '트럼프 2.0 시대, 전망 및 한국의 대응' 주제로 실제 진행 예정인 행사로 유인
- 드롭박스(Dropbox) 클라우드를 통해 LNK 유형의 악성파일 유포
- APT37그룹, C2 서버를 pCloud, Yandex 클라우드에 이어 Dropbox 사용
- Fileless 유형의 위협 탐지 성능향상을 위해 EDR 기반 이상행위 헌팅 필요
1. 개요 (Overview)
○ 2025년 03월, APT37 그룹의 위협 행위자는 스피어 피싱(Spear Phishing) 공격으로 몇몇 대북분야 활동가에게 악성 이메일을 전달했습니다. 드롭박스(Dropbox)로 연결된 첨부파일 주소를 클릭하면, 바로가기(LNK)가 포함된 압축파일이 받아집니다. 만약, 압축해제 후 바로가기 파일을 실행되면 'toy' 키워드가 포함된 추가 악성코드가 작동됩니다.
○ 지니언스 시큐리티 센터(Genians Security Center / GSC)는 위협특징 기반으로 "작전명. 토이박스 스토리(Operation. ToyBox Story)"로 명명 후 분석을 진행했습니다.
[그림 1] APT37 공격 흐름도
2. 배경 (Background)
○ 'APT37 그룹'은 북한과 연계된 국가 배후 해킹 조직으로 널리 알려져 있습니다. GSC는 이들 그룹이 다양한 공격 전략을 구사하고 있다는 점에 주목하고 있습니다.
- 워터링 홀 (Watering Hole)
- 스피어 피싱 (Spear Phishing)
- 소셜 네트워크 서비스 피싱 (SNS …
- 한국 국가안보전략 싱크탱크의 학술회의 안내정보로 위장해 관심끌기
- '트럼프 2.0 시대, 전망 및 한국의 대응' 주제로 실제 진행 예정인 행사로 유인
- 드롭박스(Dropbox) 클라우드를 통해 LNK 유형의 악성파일 유포
- APT37그룹, C2 서버를 pCloud, Yandex 클라우드에 이어 Dropbox 사용
- Fileless 유형의 위협 탐지 성능향상을 위해 EDR 기반 이상행위 헌팅 필요
1. 개요 (Overview)
○ 2025년 03월, APT37 그룹의 위협 행위자는 스피어 피싱(Spear Phishing) 공격으로 몇몇 대북분야 활동가에게 악성 이메일을 전달했습니다. 드롭박스(Dropbox)로 연결된 첨부파일 주소를 클릭하면, 바로가기(LNK)가 포함된 압축파일이 받아집니다. 만약, 압축해제 후 바로가기 파일을 실행되면 'toy' 키워드가 포함된 추가 악성코드가 작동됩니다.
○ 지니언스 시큐리티 센터(Genians Security Center / GSC)는 위협특징 기반으로 "작전명. 토이박스 스토리(Operation. ToyBox Story)"로 명명 후 분석을 진행했습니다.
[그림 1] APT37 공격 흐름도
2. 배경 (Background)
○ 'APT37 그룹'은 북한과 연계된 국가 배후 해킹 조직으로 널리 알려져 있습니다. GSC는 이들 그룹이 다양한 공격 전략을 구사하고 있다는 점에 주목하고 있습니다.
- 워터링 홀 (Watering Hole)
- 스피어 피싱 (Spear Phishing)
- 소셜 네트워크 서비스 피싱 (SNS …
IoC
https://api.pcloud.com/uploadfile?path=%s&filename=%s&nopartial=1
https://content.dropboxapi.com/2/files/upload
https://cloud-api.yandex.net/v1/disk/resources?path=%s&limit=500
https://api.pcloud.com/listfolder?path=%s
http://cloud-api.yandex.net
https://cloud-api.yandex.net/v1/disk/resources/upload?path=%s&overwrite=%s
http://89.147.101.71
http://api.dropboxapi.com
http://37.120.210.2
https://content.dropboxapi.com/2/files/download
http://api.pcloud.com
https://api.dropboxapi.com/2/files/delete
https://api.pcloud.com/getfilelink?path=%s&forcedownload=1&skipfilename=1
https://api.dropboxapi.com/2/files/list_folder
https://cloud-api.yandex.net/v1/disk/resources/download?path=%s
https://api.pcloud.com/deletefile?path=%s
http://89.147.101.65
https://cloud-api.yandex.net/v1/disk/resources?path=%s&permanently=%s
89.147.101.65
37.120.210.2
89.147.101.71
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
723f80d1843315717bc56e9e58e89be5
d77c8449f1efc4bfb9ebff496442bbbc
7822e53536c1cf86c3e44e31e77bd088
8f339a09f0d0202cfaffbd38469490ec
81c08366ea7fc0f933f368b120104384
46ca088d5c052738d42bbd6231cc0ed5
7cc8ce5374ff9eacd38491b75cbedf89
2f431c4e65af9908d2182c6a093bf262
112ba70f4e2d696b6b0110218d8bcfc3
beeaca6a34fb05e73a6d8b7d2b8c2ee3
1e9ce53a18e24ebc01b539ba7ba6bedd
d5d48f044ff16ef6a4d5bde060ed5cee
324688238c42d7190a2b50303cbc6a3c
a635bd019674b25038cd8f02e15eebd2
https://content.dropboxapi.com/2/files/upload
https://cloud-api.yandex.net/v1/disk/resources?path=%s&limit=500
https://api.pcloud.com/listfolder?path=%s
http://cloud-api.yandex.net
https://cloud-api.yandex.net/v1/disk/resources/upload?path=%s&overwrite=%s
http://89.147.101.71
http://api.dropboxapi.com
http://37.120.210.2
https://content.dropboxapi.com/2/files/download
http://api.pcloud.com
https://api.dropboxapi.com/2/files/delete
https://api.pcloud.com/getfilelink?path=%s&forcedownload=1&skipfilename=1
https://api.dropboxapi.com/2/files/list_folder
https://cloud-api.yandex.net/v1/disk/resources/download?path=%s
https://api.pcloud.com/deletefile?path=%s
http://89.147.101.65
https://cloud-api.yandex.net/v1/disk/resources?path=%s&permanently=%s
89.147.101.65
37.120.210.2
89.147.101.71
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
723f80d1843315717bc56e9e58e89be5
d77c8449f1efc4bfb9ebff496442bbbc
7822e53536c1cf86c3e44e31e77bd088
8f339a09f0d0202cfaffbd38469490ec
81c08366ea7fc0f933f368b120104384
46ca088d5c052738d42bbd6231cc0ed5
7cc8ce5374ff9eacd38491b75cbedf89
2f431c4e65af9908d2182c6a093bf262
112ba70f4e2d696b6b0110218d8bcfc3
beeaca6a34fb05e73a6d8b7d2b8c2ee3
1e9ce53a18e24ebc01b539ba7ba6bedd
d5d48f044ff16ef6a4d5bde060ed5cee
324688238c42d7190a2b50303cbc6a3c
a635bd019674b25038cd8f02e15eebd2