2024년 10월 APT 그룹 동향 보고서
Contents
2024년 10월 APT 그룹 동향 보고서
2024년 10월 보안 업체와 기관에서 공개된 분석 내용을 종합한 주요 APT 그룹의 사례는 다음과 같다.
1) Andariel
Symantec Threat Hunter 팀은 Andariel 그룹이 미국 내 기업들을 대상으로 금전적 동기를 가진공격을 수행하고 있다는 증거를 발견했다.[1]
이 그룹은 2024년 7월 미국 법무부의 기소 이후에도 공격을 이어가고 있으며, 8월에는 미국 기업 세 곳을 대상으로 공격을 수행했다. 공격 대상은 모두 민간 기업으로 확인됐으며, 금전적 이득을 노린 것으로 추정된다.
해당 공격에는 가짜 ‘Tableau’ 인증서를 포함한 두 개의 고유한 인증서와 Preft 백도어, Nukebot 백도어 등이 사용됐다. Preft 백도어는 파일 다운로드, 업로드, 명령 실행 등 다양한 기능을 수행하며, 여러 종류의 플러그인을 지원한다. Nukebot 백도어는 명령 실행, 파일 전송, 스크린샷 촬영 기능을 수행하며, 이번 공격에서 처음 발견됐다. 또한, Sliver, Chisel, PuTTY, Megatools 등 오픈소스 및 공개된 도구들을 사용해 공격을 수행했다. 공격자는 두 종류의 키로거를 사용했다. 첫 번째 키로거는 클립보드 데이터 탈취 및 특정 프로그램의 키 입력을 기록했고, 두 번째 키로거는 클립보드 데이터를 무작위로 생성한 DAT 파일에 기록했다. …
2024년 10월 보안 업체와 기관에서 공개된 분석 내용을 종합한 주요 APT 그룹의 사례는 다음과 같다.
1) Andariel
Symantec Threat Hunter 팀은 Andariel 그룹이 미국 내 기업들을 대상으로 금전적 동기를 가진공격을 수행하고 있다는 증거를 발견했다.[1]
이 그룹은 2024년 7월 미국 법무부의 기소 이후에도 공격을 이어가고 있으며, 8월에는 미국 기업 세 곳을 대상으로 공격을 수행했다. 공격 대상은 모두 민간 기업으로 확인됐으며, 금전적 이득을 노린 것으로 추정된다.
해당 공격에는 가짜 ‘Tableau’ 인증서를 포함한 두 개의 고유한 인증서와 Preft 백도어, Nukebot 백도어 등이 사용됐다. Preft 백도어는 파일 다운로드, 업로드, 명령 실행 등 다양한 기능을 수행하며, 여러 종류의 플러그인을 지원한다. Nukebot 백도어는 명령 실행, 파일 전송, 스크린샷 촬영 기능을 수행하며, 이번 공격에서 처음 발견됐다. 또한, Sliver, Chisel, PuTTY, Megatools 등 오픈소스 및 공개된 도구들을 사용해 공격을 수행했다. 공격자는 두 종류의 키로거를 사용했다. 첫 번째 키로거는 클립보드 데이터 탈취 및 특정 프로그램의 키 입력을 기록했고, 두 번째 키로거는 클립보드 데이터를 무작위로 생성한 DAT 파일에 기록했다. …