APT Down - The North Korea Files 공개 자료 상세 분석 보고서
Contents
APT Down - The North Korea Files 공개 자료 상세 분석 보고서
엔키화이트햇
2025. 9. 22.
Content
개요
1. 악성코드 및 공격 분석
2. 탈취 자료 분석
3. 공격자 및 시스템 정보
4. 과거 국내 침해사고 연관성
5. 공격 배후 추정 및 근거
6. 마치며
7. syslogk rootkit 감염 여부 점검 방법
8. 부록
개요
본 보고서는 Phrack Magazine에서 공개된 APT Down–The North Korea Files 자료를 토대로 추가 분석한 내용들을 다룬다. 공격자가 실제로 사용한 VMware VM, VPS 덤프 파일도 공개되어 공격자의 활동 내역을 심층 분석할 수 있었고, 이로 인해 공격 배후도 유추할 수 있었다.
특히 공개된 파일 중에 루트킷 소스코드가 존재하는데, 이는 당사가 2022년 금융회사 침해사고 조사 과정에서 확인한 루트킷의 소스코드인 것으로 판명되었다. 코드 로직은 물론 사용된 암호화 키까지 일치하였다. 또한 2022년 침해사고 조사 당시 확인된 루트킷의 2025년 최신 버전 소스코드가 추가로 확인되었다.
이 외에도 Ivanti 1-Day 익스플로잇, 유출된 것으로 추정되는 외교부 홈페이지 소스코드, GPKISecureWebX 소스코드 그리고 검찰, 방첩사령부 등을 대상으로 한 피싱 공격도 확인되었다. 이러한 정황은 공격자가 과거부터 현재까지 한국을 주요 표적으로 삼아 지속적으로 활발한 …
엔키화이트햇
2025. 9. 22.
Content
개요
1. 악성코드 및 공격 분석
2. 탈취 자료 분석
3. 공격자 및 시스템 정보
4. 과거 국내 침해사고 연관성
5. 공격 배후 추정 및 근거
6. 마치며
7. syslogk rootkit 감염 여부 점검 방법
8. 부록
개요
본 보고서는 Phrack Magazine에서 공개된 APT Down–The North Korea Files 자료를 토대로 추가 분석한 내용들을 다룬다. 공격자가 실제로 사용한 VMware VM, VPS 덤프 파일도 공개되어 공격자의 활동 내역을 심층 분석할 수 있었고, 이로 인해 공격 배후도 유추할 수 있었다.
특히 공개된 파일 중에 루트킷 소스코드가 존재하는데, 이는 당사가 2022년 금융회사 침해사고 조사 과정에서 확인한 루트킷의 소스코드인 것으로 판명되었다. 코드 로직은 물론 사용된 암호화 키까지 일치하였다. 또한 2022년 침해사고 조사 당시 확인된 루트킷의 2025년 최신 버전 소스코드가 추가로 확인되었다.
이 외에도 Ivanti 1-Day 익스플로잇, 유출된 것으로 추정되는 외교부 홈페이지 소스코드, GPKISecureWebX 소스코드 그리고 검찰, 방첩사령부 등을 대상으로 한 피싱 공격도 확인되었다. 이러한 정황은 공격자가 과거부터 현재까지 한국을 주요 표적으로 삼아 지속적으로 활발한 …
IoC
https://service.navers.org/emuy.php
https://mail.daum.net
https://mail.yonsei.ac.kr/common/json/agent.do
http://nid.navermails.com
http://203.234.192.200
http://192.168.123.200/ok.sct
203.234.192.200
192.168.123.200
192.168.50.1
[email protected]
603deb15153a715e2b73aef3857d758b1f552c573e6158d72d9811a33914defe
efa3c987532cc0bdac533845ad8df5ea
d03deb92153a71458973aef3857d75b27e552cc63e6158a8339811873994de47
https://mail.daum.net
https://mail.yonsei.ac.kr/common/json/agent.do
http://nid.navermails.com
http://203.234.192.200
http://192.168.123.200/ok.sct
203.234.192.200
192.168.123.200
192.168.50.1
[email protected]
603deb15153a715e2b73aef3857d758b1f552c573e6158d72d9811a33914defe
efa3c987532cc0bdac533845ad8df5ea
d03deb92153a71458973aef3857d75b27e552cc63e6158a8339811873994de47