Andariel 그룹의 국내 솔루션 대상 공격 사례 분석 (SmallTiger)
Contents
Andariel 그룹의 국내 솔루션 대상 공격 사례 분석 (SmallTiger)
Andariel 그룹은 과거부터 국내 기업들에서 사용하는 다양한 소프트웨어들을 공격해 왔다. [1] 대표적으로 자산 관리 솔루션, 정보 유출 방지 (DLP) 솔루션 등이 있으며 이외에도 다양한 솔루션들에 대한 취약점 공격 사례도 확인된다.
2024년 하반기에도 Andariel 그룹의 공격 사례는 지속되고 있으며 주로 SmallTiger를 설치하고 있다. [2] 악용 대상 소프트웨어로는 수년 전부터 악용 중인 국내 자산 관리 솔루션이 대표적이며 이외에도 문서 중앙화 솔루션에 대한 악용 사례 정황도 확인된다.
1. 국내 자산 관리 솔루션 대상 공격 사례
해당 솔루션은 지속적으로 공격에 악용되고 있으며 자산 관리 솔루션이라는 특성상 제어 서버가 탈취당한 후 공격자가 이를 악용해 악성코드 설치 명령을 실행하는 방식인 것으로 추정된다. 이러한 공격 사례에서는 주로 ModeLoader가 설치되었다.
이외에도 외부에 노출된 업데이트 서버를 대상으로 무차별 대입 공격 및 사전 공격을 통해 제어를 탈취하는 사례도 확인되었다. 해당 사례에서 공격자는 업데이트 프로그램을 SmallTiger로 교체하였으며 이러한 과정을 통해 조직 내의 시스템들에 SmallTiger를 배포하려고 시도하였다.
이번에 확인된 사례는 최초 침투 방식이나 구체적인 유표 방식은 확인되지 않지만 해당 …
Andariel 그룹은 과거부터 국내 기업들에서 사용하는 다양한 소프트웨어들을 공격해 왔다. [1] 대표적으로 자산 관리 솔루션, 정보 유출 방지 (DLP) 솔루션 등이 있으며 이외에도 다양한 솔루션들에 대한 취약점 공격 사례도 확인된다.
2024년 하반기에도 Andariel 그룹의 공격 사례는 지속되고 있으며 주로 SmallTiger를 설치하고 있다. [2] 악용 대상 소프트웨어로는 수년 전부터 악용 중인 국내 자산 관리 솔루션이 대표적이며 이외에도 문서 중앙화 솔루션에 대한 악용 사례 정황도 확인된다.
1. 국내 자산 관리 솔루션 대상 공격 사례
해당 솔루션은 지속적으로 공격에 악용되고 있으며 자산 관리 솔루션이라는 특성상 제어 서버가 탈취당한 후 공격자가 이를 악용해 악성코드 설치 명령을 실행하는 방식인 것으로 추정된다. 이러한 공격 사례에서는 주로 ModeLoader가 설치되었다.
이외에도 외부에 노출된 업데이트 서버를 대상으로 무차별 대입 공격 및 사전 공격을 통해 제어를 탈취하는 사례도 확인되었다. 해당 사례에서 공격자는 업데이트 프로그램을 SmallTiger로 교체하였으며 이러한 과정을 통해 조직 내의 시스템들에 SmallTiger를 배포하려고 시도하였다.
이번에 확인된 사례는 최초 침투 방식이나 구체적인 유표 방식은 확인되지 않지만 해당 …
IoC
http://45.61.148.153/pizza.jsp
45.61.148.153
3525a8a16ce8988885d435133b3e85d8
45ef2e621f4c530437e186914c7a9c62
6a58b52b184715583cda792b56a0a1ed
b500a8ffd4907a1dfda985683f1de1df
45.61.148.153
3525a8a16ce8988885d435133b3e85d8
45ef2e621f4c530437e186914c7a9c62
6a58b52b184715583cda792b56a0a1ed
b500a8ffd4907a1dfda985683f1de1df