lazarusholic

Everyday is lazarus.dayβ

K 메신저로 유포된 'APT37' 그룹의 악성 HWP 사례 분석

2025-02-03, Genians
https://www.genians.co.kr/blog/threat_intelligence/k-messenger
#APT37 #LNK

Contents

◈ 주요 요약 (Executive Summary)
-
신원 도용과 K 메신저 단체 대화방 통로로 수행된 한국형 APT 공격
-
스피어 피싱 초기 침투 성공 후, 해당 단말을 통한 '횡적 이동' 탐지 필요
-
HWP, LNK 악성코드를 활용한 APT37 그룹의 집요한 공격 전술 분석
-
Anti-Virus 탐지 회피를 위한 변종 공격 증가와 상용 클라우드 C2 활용
-
EDR 기반 보안 체계 구축을 통해 고도화된 APT 공격 탐지 강화 중요
1. 개요 (Overview)
○ 2024년 한국을 표적으로 한 다양한 지능형지속위협(APT) 공격이 있었습니다. 그중 대표적 위협 유형을 꼽는다면, LNK 파일을 빼놓을 수 없을만큼 많은 사례가 식별됐습니다. 이와 더불어 '24년 하반기에는 HWP 파일을 사용한 공격도 다수 발견됐습니다.
○ 한국을 겨냥한 국가배후 사이버 위협 그룹들은 주로 5가지 공격 수법을 활용하고, 두개 이상을 하이브리드 형태로 결합하기도 합니다.
-
한국 대상 5대 APT 공격 벡터
-
스피어 피싱 공격 (Spear Phishing Attack)
-
워터링 홀 공격 (Watering Hole Attack)
-
소프트웨어 공급망 공격 (Software Supply Chain Attack)
-
사회 관계망 공격 (Social Network Attack)
-
프리랜서 아웃소싱 공격 (Freelancer-based outsourcing attack)
-
○ 보통 위협 행위자들은 초기 단말침투 성공을 위해 주요 Anti-Virus 탐지회피에 집중합니다. 따라서 …

IoC

1a70a013a56673f25738cf145928d0f5
1c3bb05a03834f56b0285788d988aae4
1d736803cb8fbb910dc0150087530de7
1fcfea1ed7f0da272d37eff49371fcf0
2c24f8fa2654aa2675566f7d6b0f5b12
5b44285747891464c496aa477e450f10
32dd9146310f45cfe402900be5cb0fe7
057f60381cbe0563b46345d4d3ec5c3c
835a74b3c33a66678c66118dbe26dccf
2569e4cc739ce441f8cbeb13cc3ca51a
aa2762179e8c4c243a78884cfbd72c16
aae7595fbb6534c389652da871b9fd17
b42a47fc422868e0f1df99ee3b9cbb21
d4bf6e070e5cc66385cd81ae8f10266d
d8e826a6cb2ce2c9ee74242e993a7874
ebaba93172f6bcb47b1bb4a270542e98
ed691e1e20160346094c08d2cebf0f32