AI 딥페이크 사칭 캠페인 후속 Python 백도어 위협 분석
Contents
◈ 주요 결과 (Key Findings)
- 이메일에 ZIP 압축된 LNK 악성파일을 첨부한 스피어피싱으로 초기 접근 수행
- 항공권 전자티켓, 북한연구 행사 초대, 국방·경찰 공무원 사칭 등 호기심 유발 테마 사용
- LNK 실행 시 환경변수 기반 난독화 명령으로 배치파일을 호출하여 추가 페이로드 다운로드
- 동일한 환경변수 치환 기법이 적용된 BAT 파일을 연쇄 실행하며 C2와 통신 지속
- C2에서 .cat 확장자의 Compiled Python Script 악성코드를 내려받아 후속 행위 수행
- 난독화·다단계 다운로드 악용 행위를 식별할 수 있는 행위 기반 EDR 대응 체계 강화 필요
1. 개요 (Overview)
지니언스 시큐리티 센터(Genians Security Center)는 배치파일 난독화 명령 호출 기법과 Compiled Python 기반 악성코드를 결합한 APT37 연관성이 의심되는 위협 캠페인을 포착하였습니다.
본 위협은 이메일 기반 스피어피싱을 통해 ZIP 압축 파일 형태로 유포되며, 내부에 포함된 LNK(바로가기) 파일 실행을 유도하는 방식으로 시작됩니다. 사용자가 해당 파일을 실행할 경우, 환경변수 기반 문자열 치환 기법을 통해 실제 명령이 복원되며, 이후 추가 페이로드를 순차적으로 다운로드 및 실행하는 구조로 전개됩니다.
분석 결과, 위협 행위자는 항공권 전자티켓 확인서, 북한 연구 관련 행사 …
- 이메일에 ZIP 압축된 LNK 악성파일을 첨부한 스피어피싱으로 초기 접근 수행
- 항공권 전자티켓, 북한연구 행사 초대, 국방·경찰 공무원 사칭 등 호기심 유발 테마 사용
- LNK 실행 시 환경변수 기반 난독화 명령으로 배치파일을 호출하여 추가 페이로드 다운로드
- 동일한 환경변수 치환 기법이 적용된 BAT 파일을 연쇄 실행하며 C2와 통신 지속
- C2에서 .cat 확장자의 Compiled Python Script 악성코드를 내려받아 후속 행위 수행
- 난독화·다단계 다운로드 악용 행위를 식별할 수 있는 행위 기반 EDR 대응 체계 강화 필요
1. 개요 (Overview)
지니언스 시큐리티 센터(Genians Security Center)는 배치파일 난독화 명령 호출 기법과 Compiled Python 기반 악성코드를 결합한 APT37 연관성이 의심되는 위협 캠페인을 포착하였습니다.
본 위협은 이메일 기반 스피어피싱을 통해 ZIP 압축 파일 형태로 유포되며, 내부에 포함된 LNK(바로가기) 파일 실행을 유도하는 방식으로 시작됩니다. 사용자가 해당 파일을 실행할 경우, 환경변수 기반 문자열 치환 기법을 통해 실제 명령이 복원되며, 이후 추가 페이로드를 순차적으로 다운로드 및 실행하는 구조로 전개됩니다.
분석 결과, 위협 행위자는 항공권 전자티켓 확인서, 북한 연구 관련 행사 …
IoC
http://choisy.fr
http://kmot.co.kr
http://218.150.78.198
http://intobiz.kr/bbs/data/bbs62/blog.php
http://sjem.co.kr
http://211.169.73.104
http://oxenhan1.cafe24.com
http://sunlin.org
http://121.78.88.92
http://ezvm.kr
http://ljs5950.cafe24.com
http://intobiz.kr
http://haeundaejugong.com/editor/chinotto/do.php
http://fe01.co.kr
http://cafe24.com
http://versonnex74.fr
http://haeundaejugong.com
http://211.239.157.126
http://220.73.160.23
http://hanainternational.net
http://ycpatent.co.kr
http://kjdnc.gp114.net
http://hanainternational.net/editor/data/font.php
http://114.207.246.156
http://printory.kr
http://kumdo.org
http://ableinfo.co.kr
http://121.78.88.88
http://luminix.kr
http://121.78.88.93
http://udcontest.com
http://attiferstudio.com/install.bak/sony/10.html
http://183.111.174.69
http://sunlin.org/adm/phpMyAdmin/info/style.php
http://51.158.21.1
211.239.157.126
121.78.88.88
211.169.73.104
121.78.88.92
218.150.78.198
121.78.88.93
51.158.21.1
220.73.160.23
183.111.174.69
114.207.246.156
fcb97f87905a33af565b0a4f4e884d61
7922f91281e8b0fe00518d05bf295b4a
f7b2e0cebd7793c8cfee2c7c5b93df9c
b5f9cd67cb32f44c138c382e17b06fd6
804d12b116bb40282fbf245db885c093
33c97fc4eacd73addbae9e6cde54a77d
255155bad9af5e2c6cf550ff2a95219d
09dabe5ab566e50ab4526504345af297
16d7be5ebc3c2ff1cffbb83b965fd4fb
1aa7751332710f4e963a708243d3d550
abbb362cdfe14b56b3a13a2a55937ee4
http://kmot.co.kr
http://218.150.78.198
http://intobiz.kr/bbs/data/bbs62/blog.php
http://sjem.co.kr
http://211.169.73.104
http://oxenhan1.cafe24.com
http://sunlin.org
http://121.78.88.92
http://ezvm.kr
http://ljs5950.cafe24.com
http://intobiz.kr
http://haeundaejugong.com/editor/chinotto/do.php
http://fe01.co.kr
http://cafe24.com
http://versonnex74.fr
http://haeundaejugong.com
http://211.239.157.126
http://220.73.160.23
http://hanainternational.net
http://ycpatent.co.kr
http://kjdnc.gp114.net
http://hanainternational.net/editor/data/font.php
http://114.207.246.156
http://printory.kr
http://kumdo.org
http://ableinfo.co.kr
http://121.78.88.88
http://luminix.kr
http://121.78.88.93
http://udcontest.com
http://attiferstudio.com/install.bak/sony/10.html
http://183.111.174.69
http://sunlin.org/adm/phpMyAdmin/info/style.php
http://51.158.21.1
211.239.157.126
121.78.88.88
211.169.73.104
121.78.88.92
218.150.78.198
121.78.88.93
51.158.21.1
220.73.160.23
183.111.174.69
114.207.246.156
fcb97f87905a33af565b0a4f4e884d61
7922f91281e8b0fe00518d05bf295b4a
f7b2e0cebd7793c8cfee2c7c5b93df9c
b5f9cd67cb32f44c138c382e17b06fd6
804d12b116bb40282fbf245db885c093
33c97fc4eacd73addbae9e6cde54a77d
255155bad9af5e2c6cf550ff2a95219d
09dabe5ab566e50ab4526504345af297
16d7be5ebc3c2ff1cffbb83b965fd4fb
1aa7751332710f4e963a708243d3d550
abbb362cdfe14b56b3a13a2a55937ee4