Andariel 그룹의 Apache ActiveMQ 취약점 (CVE-2023-46604) 공격 정황
Contents
AhnLab Security Emergency response Center(ASEC)은 최근 Andariel 위협 그룹의 공격을 모니터링하던 중 Andariel 그룹이 Apache ActiveMQ 원격 코드 실행 취약점(CVE-2023-46604)을 악용해 악성코드를 설치하는 것으로 추정되는 공격 사례를 확인하였다.
주로 국내 기업 및 기관들을 공격 대상으로 하는 Andariel 위협 그룹은 Lazarus 위협 그룹과 협력하는 관계이거나 혹은 Lazarus 그룹의 하위 조직으로 알려져 있다. 2008년부터 국내 대상 공격이 최초로 확인되었으며 주요 공격 대상으로는 국방, 정치기구, 조선, 에너지, 통신 등 안보와 관련된 곳이다. 물론 이외에도 대학교나 운송, ICT 업체 등 국내에 위치한 다양한 기업 및 기관들이 공격 대상이 되고 있다. [1]
Andariel 위협 그룹은 과거부터 스피어 피싱 공격이나 워터링 홀 공격 그리고 공급망 공격을 이용해 왔으며 [2] 최근에는 Log4Shell 취약점이나 [3] 부적절하게 관리되는 MS-SQL 서버를 대상으로 한 공격 그리고 정상 소프트웨어를 악용하는 공격 사례도 확인되고 있다. [4]
현재 기준 직접적인 로그는 존재하지 않지만 정황상 Andariel 그룹이 Apache ActiveMQ 서버에 대한 원격 코드 실행 취약점을 악용하여 NukeSped, TigerRat 백도어를 설치하고 있는 것으로 추정된다. 여기에서는 Apache ActiveMQ 서버 대상 …
주로 국내 기업 및 기관들을 공격 대상으로 하는 Andariel 위협 그룹은 Lazarus 위협 그룹과 협력하는 관계이거나 혹은 Lazarus 그룹의 하위 조직으로 알려져 있다. 2008년부터 국내 대상 공격이 최초로 확인되었으며 주요 공격 대상으로는 국방, 정치기구, 조선, 에너지, 통신 등 안보와 관련된 곳이다. 물론 이외에도 대학교나 운송, ICT 업체 등 국내에 위치한 다양한 기업 및 기관들이 공격 대상이 되고 있다. [1]
Andariel 위협 그룹은 과거부터 스피어 피싱 공격이나 워터링 홀 공격 그리고 공급망 공격을 이용해 왔으며 [2] 최근에는 Log4Shell 취약점이나 [3] 부적절하게 관리되는 MS-SQL 서버를 대상으로 한 공격 그리고 정상 소프트웨어를 악용하는 공격 사례도 확인되고 있다. [4]
현재 기준 직접적인 로그는 존재하지 않지만 정황상 Andariel 그룹이 Apache ActiveMQ 서버에 대한 원격 코드 실행 취약점을 악용하여 NukeSped, TigerRat 백도어를 설치하고 있는 것으로 추정된다. 여기에서는 Apache ActiveMQ 서버 대상 …
IoC
11ec319e9984a71d80df1302fe77332d
137.175.17.172
137.175.17.221
160f7d2307bbc0e8a1b6ac03b8715e4f
168.100.9.154
176.105.255.60
206.166.251.186
26ff72b0b85e764400724e442c164046
27.102.114.215
27.102.128.152
31cbc75319ea60f45eb114c2faad21f9
478dcb54e0a610a160a079656b9582de
4eead95202e6a0e4936f681fd5579582
7699ba4eab5837a4ad9d5d6bbedffc18
beb219abe2ba5e9fd7d51a178ac2caca
c2f8c9bb7df688d0a7030a96314bb493
c55eb07ef4c07e5ba63f7f0797dfd536
dc9d60ce5b3d071942be126ed733bfb8
http://137.175.17.172:1443/ac3.jar
http://137.175.17.172:1443/agent
http://137.175.17.172:1443/agent_w
http://137.175.17.172:41334
http://137.175.17.221:1443/ac.jar
http://137.175.17.221:1443/agent
http://137.175.17.221:1443/agent_w
http://137.175.17.221:48084
http://168.100.9.154:9090/Notification.msi
http://176.105.255.60/Xdw0FFtpuYWSLrVcAei5zg
http://176.105.255.60:49407
http://27.102.114.215:8000
http://27.102.128.152:8098/bit.ico
https://206.166.251.186/jquery-3.3.1.min.js
137.175.17.172
137.175.17.221
160f7d2307bbc0e8a1b6ac03b8715e4f
168.100.9.154
176.105.255.60
206.166.251.186
26ff72b0b85e764400724e442c164046
27.102.114.215
27.102.128.152
31cbc75319ea60f45eb114c2faad21f9
478dcb54e0a610a160a079656b9582de
4eead95202e6a0e4936f681fd5579582
7699ba4eab5837a4ad9d5d6bbedffc18
beb219abe2ba5e9fd7d51a178ac2caca
c2f8c9bb7df688d0a7030a96314bb493
c55eb07ef4c07e5ba63f7f0797dfd536
dc9d60ce5b3d071942be126ed733bfb8
http://137.175.17.172:1443/ac3.jar
http://137.175.17.172:1443/agent
http://137.175.17.172:1443/agent_w
http://137.175.17.172:41334
http://137.175.17.221:1443/ac.jar
http://137.175.17.221:1443/agent
http://137.175.17.221:1443/agent_w
http://137.175.17.221:48084
http://168.100.9.154:9090/Notification.msi
http://176.105.255.60/Xdw0FFtpuYWSLrVcAei5zg
http://176.105.255.60:49407
http://27.102.114.215:8000
http://27.102.128.152:8098/bit.ico
https://206.166.251.186/jquery-3.3.1.min.js