APT43 배후의 다단계 드롭박스 명령과 TutorialRAT
Contents
◈ 주요 요약 (Executive Summary)
- 정책 간담회나 자문회의, 설문조사, 강의안내 등 사칭해 유인
- 초기 접근은 정상 이메일로 시작, 반응형 스피어 피싱 전략 구사
- 합법적인 드롭박스의 다단계 공격 체인과 TutorialRAT 공격 활용
- APT43그룹의 BabyShark 위협 캠페인 연장선으로 확인
- Genian EDR의 XBA 이상행위 탐지 기술을 통해 선제적 식별 가능
1. 개요 (Overview)
○ 지니언스 시큐리티 센터(이하 GSC)는 APT43 그룹이 다단계 공격 체인을 활용해 시그니처 기반 Anti-Virus 탐지 기술 회피에 집중함을 확인했습니다. 특히, 합법적으로 널리 쓰이는 드롭박스(DropBox) 클라우드 저장소를 마치 공격 거점으로 활용해 위협 모니터링 범위에서 탈피하기 위한 전술 노력도 시도 중입니다.
○ 2024년 1분기를 기준해 한국내 APT 공격 활성도는 높음 수준을 유지하며, 스피어 피싱의 경우 '바로가기(LNK)' 타입의 공격이 지속돼 각별한 주의가 요구됩니다.
[그림 1] APT43 그룹의 DropBox 기반 BabyShark 공격 흐름도
2. 공격 시나리오 (Attack Scenario)
○ 먼저 지난해 말 마치 한국내 통일분야 정책 간담회 및 강연, 사례비 지급서식 문서처럼 위장된 HTML 유형의 공격이 다수 포착됐습니다. 이는 전형적 스피어 피싱 기반의 APT 공격으로 실제 정부기관이 사용중인 보안메일 내역처럼 …
- 정책 간담회나 자문회의, 설문조사, 강의안내 등 사칭해 유인
- 초기 접근은 정상 이메일로 시작, 반응형 스피어 피싱 전략 구사
- 합법적인 드롭박스의 다단계 공격 체인과 TutorialRAT 공격 활용
- APT43그룹의 BabyShark 위협 캠페인 연장선으로 확인
- Genian EDR의 XBA 이상행위 탐지 기술을 통해 선제적 식별 가능
1. 개요 (Overview)
○ 지니언스 시큐리티 센터(이하 GSC)는 APT43 그룹이 다단계 공격 체인을 활용해 시그니처 기반 Anti-Virus 탐지 기술 회피에 집중함을 확인했습니다. 특히, 합법적으로 널리 쓰이는 드롭박스(DropBox) 클라우드 저장소를 마치 공격 거점으로 활용해 위협 모니터링 범위에서 탈피하기 위한 전술 노력도 시도 중입니다.
○ 2024년 1분기를 기준해 한국내 APT 공격 활성도는 높음 수준을 유지하며, 스피어 피싱의 경우 '바로가기(LNK)' 타입의 공격이 지속돼 각별한 주의가 요구됩니다.
[그림 1] APT43 그룹의 DropBox 기반 BabyShark 공격 흐름도
2. 공격 시나리오 (Attack Scenario)
○ 먼저 지난해 말 마치 한국내 통일분야 정책 간담회 및 강연, 사례비 지급서식 문서처럼 위장된 HTML 유형의 공격이 다수 포착됐습니다. 이는 전형적 스피어 피싱 기반의 APT 공격으로 실제 정부기관이 사용중인 보안메일 내역처럼 …
IoC
0040f03faf5bbdc555f2039a4e33a82b
122.155.191.33
165.154.230.24
183.111.141.93
1e66ac680d0edfe18d97b89e46c7e82e
218.150.78.197
2f9125a538d84dd952f72722f28575b8
32519b46b55792084240f850e0c94298
3e3013fe03f7416b8d1e96591f8e5839
515194ef77fbbe04845de290eefd0049
544963f602ec6c97994d38ce39368d79
5ad5ace1ec82538f66acf13e48cf8db4
61a30992e0a7ab93cd3a47cc51284b35
64dee04b6e6404c14d10971adf35c3a7
781acd3a8250da862e48425d078b54ad
8133c5f663f89b01b30a052749b5a988
a4bd6d00abbd79ab00161ff538cfe703
a9276bae977589f3f670f26b2cb8a9f1
ade1d12604dd9d62f6ef97a93cda142b
b70bc31b537caf411f97a991d8292c5a
b9898e8e5b6494bcc219462c6be7c248
c700195f61635b9a6fb1ee4359b91940
d19253d84c6cb8fb6064e6d33bed556f
dce864eabfbd6445682a4671a2fee1a9
eb08ab3854168c834ab154facfe695a3
eb614c99614c3365bdc926a73ef7a492
f395012ff30a846d0e7ed787147f5723
fb5aec165279015f17b29f9f2c730976
fcdcc6c56ae43f7a78413cc5204e9314
http://122.155.191.33
http://165.154.230.24
http://183.111.141.93
http://218.150.78.197
http://aymdtt.co.kr
http://dddon.kr
http://gbionet.com
http://iso3488.co.kr
http://kyungdaek.com
http://meatalk.com
http://regard.co.kr
http://siloamclinic.com
http://strehab.com
http://vwellpain.com
http://well-story.co.kr
122.155.191.33
165.154.230.24
183.111.141.93
1e66ac680d0edfe18d97b89e46c7e82e
218.150.78.197
2f9125a538d84dd952f72722f28575b8
32519b46b55792084240f850e0c94298
3e3013fe03f7416b8d1e96591f8e5839
515194ef77fbbe04845de290eefd0049
544963f602ec6c97994d38ce39368d79
5ad5ace1ec82538f66acf13e48cf8db4
61a30992e0a7ab93cd3a47cc51284b35
64dee04b6e6404c14d10971adf35c3a7
781acd3a8250da862e48425d078b54ad
8133c5f663f89b01b30a052749b5a988
a4bd6d00abbd79ab00161ff538cfe703
a9276bae977589f3f670f26b2cb8a9f1
ade1d12604dd9d62f6ef97a93cda142b
b70bc31b537caf411f97a991d8292c5a
b9898e8e5b6494bcc219462c6be7c248
c700195f61635b9a6fb1ee4359b91940
d19253d84c6cb8fb6064e6d33bed556f
dce864eabfbd6445682a4671a2fee1a9
eb08ab3854168c834ab154facfe695a3
eb614c99614c3365bdc926a73ef7a492
f395012ff30a846d0e7ed787147f5723
fb5aec165279015f17b29f9f2c730976
fcdcc6c56ae43f7a78413cc5204e9314
http://122.155.191.33
http://165.154.230.24
http://183.111.141.93
http://218.150.78.197
http://aymdtt.co.kr
http://dddon.kr
http://gbionet.com
http://iso3488.co.kr
http://kyungdaek.com
http://meatalk.com
http://regard.co.kr
http://siloamclinic.com
http://strehab.com
http://vwellpain.com
http://well-story.co.kr