APT37 위협 배후의 사이버 정찰 활동 분석
Contents
◈ 주요 요약 (Executive Summary)
- 국가배후 APT37 그룹의 은밀한 사이버 정찰 활동 분석
- 공격 타깃의 IP주소(위치정보), 웹 브라우저, 운영체제 등 정보 수집
- 바로가기(lnk) 악성파일을 주요 전략으로 사용하던 위협 주체단말 보안 강화를 위한 이상 행위 탐지대응 솔루션(EDR) 적극 도입 필요
1. 개요 (Overview)
○ 국가배후 사이버 안보 위협군으로 알려진 APT37 그룹은 대한민국을 상대로 다양한 사이버 첩보활동을 주도하고 있습니다. 주로 북한인권단체, 탈북민, 북한취재 기자나 통일·국방·외교안보 및 대북분야 전문가와 교수 등이 대상입니다.
○ '지니언스 시큐리티 센터(GSC)'는 APT37 캠페인 유형별 여러 CTI 분석 보고서를 발간한 바 있습니다. 대표적으로 △북한인권단체 사칭, △macOS 이용자 공격, △CVE-2022-41128 취약점, △RoKRAT 분석 사례 등입니다.
○ 위협 행위자들은 성공적인 단말 침투를 위해 주요 Anti-Virus 기반 시그니처 탐지 회피에 관심이 큽니다. GSC는 그들의 활동을 모니터링 중 흥미로운 행동패턴을 발견했습니다.
○ 미리 준비된 위협 인프라를 통해 사전정찰을 반복 수행하였고, 필요한 기초정보를 수집하였습니다. 이러한 공격전술에 적절히 대응하기 위해 단말 이벤트 흐름을 수집 분석하고 기존에 알려지지 않은 이상행위 자체를 폭 넓게 분석하고 판단할 수 있는 Endpoint Detection and Response …
- 국가배후 APT37 그룹의 은밀한 사이버 정찰 활동 분석
- 공격 타깃의 IP주소(위치정보), 웹 브라우저, 운영체제 등 정보 수집
- 바로가기(lnk) 악성파일을 주요 전략으로 사용하던 위협 주체단말 보안 강화를 위한 이상 행위 탐지대응 솔루션(EDR) 적극 도입 필요
1. 개요 (Overview)
○ 국가배후 사이버 안보 위협군으로 알려진 APT37 그룹은 대한민국을 상대로 다양한 사이버 첩보활동을 주도하고 있습니다. 주로 북한인권단체, 탈북민, 북한취재 기자나 통일·국방·외교안보 및 대북분야 전문가와 교수 등이 대상입니다.
○ '지니언스 시큐리티 센터(GSC)'는 APT37 캠페인 유형별 여러 CTI 분석 보고서를 발간한 바 있습니다. 대표적으로 △북한인권단체 사칭, △macOS 이용자 공격, △CVE-2022-41128 취약점, △RoKRAT 분석 사례 등입니다.
○ 위협 행위자들은 성공적인 단말 침투를 위해 주요 Anti-Virus 기반 시그니처 탐지 회피에 관심이 큽니다. GSC는 그들의 활동을 모니터링 중 흥미로운 행동패턴을 발견했습니다.
○ 미리 준비된 위협 인프라를 통해 사전정찰을 반복 수행하였고, 필요한 기초정보를 수집하였습니다. 이러한 공격전술에 적절히 대응하기 위해 단말 이벤트 흐름을 수집 분석하고 기존에 알려지지 않은 이상행위 자체를 폭 넓게 분석하고 판단할 수 있는 Endpoint Detection and Response …
IoC
5f6682ad9da4590cba106e2f1a8cbe26
7a66738cca9f86f4133415eedcbf8e88
105ecd9f6585df4e1fe267c2809ee190
852544f01172b8bae14ec3e4d0b35115
358122718ba11b3e8bb56340dbe94f51
acf4085b2fa977fc1350f0ddc2710502
b85a6b1eb7418aa5da108bc0df824fc0
e4ddd5cc8b5f4d791f27d676d809f668
filedownloadserve.com
kakaofilestorage.com
navarar.com
108.181.50.58
158.247.219.10
158.247.249.129
141.164.62.19
141.164.60.110
223.104.236.114
175.214.194.61
61.97.243.2
7a66738cca9f86f4133415eedcbf8e88
105ecd9f6585df4e1fe267c2809ee190
852544f01172b8bae14ec3e4d0b35115
358122718ba11b3e8bb56340dbe94f51
acf4085b2fa977fc1350f0ddc2710502
b85a6b1eb7418aa5da108bc0df824fc0
e4ddd5cc8b5f4d791f27d676d809f668
filedownloadserve.com
kakaofilestorage.com
navarar.com
108.181.50.58
158.247.219.10
158.247.249.129
141.164.62.19
141.164.60.110
223.104.236.114
175.214.194.61
61.97.243.2