Dora RAT을 이용한 국내 기업 대상 APT 공격 사례 분석 (Andariel 그룹)
Contents
AhnLab SEcurity intelligence Center(ASEC) 에서는 최근 국내 기업 및 기관을 대상으로 한 Andariel 그룹의 APT 공격 사례를 확인하였다. 공격 대상으로 확인된 조직들은 국내 제조업, 건설 업체 및 교육 기관이었으며, 백도어뿐만 아니라 키로거, 인포스틸러 그리고 프록시 도구들이 공격에 사용되었다. 공격자는 이러한 악성코드들을 이용해 감염 시스템을 제어하고 시스템에 존재하는 데이터를 탈취할 수 있었을 것으로 추정된다.
해당 공격에서는 Andariel 그룹의 과거 공격 사례에서 확인된 악성코드들이 함께 확인되었다. 대표적으로 아래에서 다룰 백도어 악성코드인 Nestdoor가 있으며 이외에도 웹쉘이 함께 확인된 사례도 존재한다. 또한 동일한 파일은 아니지만 과거 Lazarus 그룹의 공격 사례에서 확인된 Proxy 도구가 함께 사용되기도 하였다.
1. 공격 정황
공격 과정에서 발견된 여러 정황들 가운데 직접적으로 확인된 공격 사례로 Apache Tomcat 서버를 운영 중인 웹 서버를 공격하여 악성코드를 유포한 사례가 있다. 해당 시스템은 2013년에 제작된 아파치 톰캣이 동작 중이었기 때문에 다양한 취약점 공격이 사용될 수 있는 조건이다. 공격자는 웹 서버를 공격해 백도어, 프록시 도구 등을 설치하였다.
2. 악성코드 분석
2.1. Nestdoor
Nestdoor는 적어도 2022년 5월 경부터 확인되고 있는 RAT 악성코드이다. …
해당 공격에서는 Andariel 그룹의 과거 공격 사례에서 확인된 악성코드들이 함께 확인되었다. 대표적으로 아래에서 다룰 백도어 악성코드인 Nestdoor가 있으며 이외에도 웹쉘이 함께 확인된 사례도 존재한다. 또한 동일한 파일은 아니지만 과거 Lazarus 그룹의 공격 사례에서 확인된 Proxy 도구가 함께 사용되기도 하였다.
1. 공격 정황
공격 과정에서 발견된 여러 정황들 가운데 직접적으로 확인된 공격 사례로 Apache Tomcat 서버를 운영 중인 웹 서버를 공격하여 악성코드를 유포한 사례가 있다. 해당 시스템은 2013년에 제작된 아파치 톰캣이 동작 중이었기 때문에 다양한 취약점 공격이 사용될 수 있는 조건이다. 공격자는 웹 서버를 공격해 백도어, 프록시 도구 등을 설치하였다.
2. 악성코드 분석
2.1. Nestdoor
Nestdoor는 적어도 2022년 5월 경부터 확인되고 있는 RAT 악성코드이다. …
IoC
094f9a757c6dbd6030bc6dae3f8feab3
206.72.205.117
209.127.19.223
33b2b5b7c830c34c688cf6ced287e5be
4.246.149.227
45.58.159.237
468c369893d6fc6614d24ea89e149e80
4bc571925a80d4ae4aab1e8900bf753c
5df3c3e1f423f1cce5bf75f067d1d05c
5e00df548f2dcf7a808f1337f443f3d9
7416ea48102e2715c87edd49ddbd1526
951e9fcd048b919516693b25c13a9ef2
a2aefb7ab6c644aa8eeb482e27b2dbc4
afc5a07d6e438880cea63920277ed270
d92a317ef4d60dc491082a2fe6eb7a70
e7fd7f48fbf5635a04e302af50dfb651
fee610058c417b6c4b3054935b7e2730
http://206.72.205.117:443
http://209.127.19.223:443
http://4.246.149.227:1443
http://45.58.159.237:443
http://kmobile.bestunif.com:443
206.72.205.117
209.127.19.223
33b2b5b7c830c34c688cf6ced287e5be
4.246.149.227
45.58.159.237
468c369893d6fc6614d24ea89e149e80
4bc571925a80d4ae4aab1e8900bf753c
5df3c3e1f423f1cce5bf75f067d1d05c
5e00df548f2dcf7a808f1337f443f3d9
7416ea48102e2715c87edd49ddbd1526
951e9fcd048b919516693b25c13a9ef2
a2aefb7ab6c644aa8eeb482e27b2dbc4
afc5a07d6e438880cea63920277ed270
d92a317ef4d60dc491082a2fe6eb7a70
e7fd7f48fbf5635a04e302af50dfb651
fee610058c417b6c4b3054935b7e2730
http://206.72.205.117:443
http://209.127.19.223:443
http://4.246.149.227:1443
http://45.58.159.237:443
http://kmobile.bestunif.com:443