APT37 그룹의 RoKRAT 파일리스 공격 증가
Contents
◈ 주요 요약 (Executive Summary)
- 북한관련 질문지, 원고자료, 안보칼럼, 기고문, 월간지 등 사칭
- ZIP 압축 파일 내부에 LNK 유형의 악성 파일을 숨겨 전달
- DropBox, pCloud 등 클라우드 저장소를 공격 거점으로 악용
- APT37 그룹의 지속적인 RoKRAT 파일리스 기반 공격 진행
- Genian EDR을 통해 LNK 및 PowerShell 단계별 조기 탐지
1. 개요 (Overview)
○ 지니언스 시큐리티 센터(이하 GSC)는 설날 연휴가 끝나가는 2024년 2월 12일(월)부터 당월 말까지 수행된 다수의 APT37 소행 위협 캠페인을 식별했습니다. 이들은 △라자루스(Lazarus) △김수키(Kimsuky) △코니(Konni) 등과 함께 한국을 대상으로 한 주요 국가배후 위협 그룹 중 하나입니다. APT37은 주로 북 인권단체, 북한 취재 기자, 탈북민 등 주로 대북분야 종사자를 겨냥해 지속적으로 스피어 피싱을 수행 중 입니다.
○ GSC는 실제 사례별 심층 분석을 통해 LNK 파일에 내장된 PowerShell 명령이 초기 공격에 꾸준히 활용됨을 확인했습니다. 이는 위협 행위자 관점에서 Anti-Virus 탐지 회피에 어느정도 효과가 입증됐을 것입니다. 더불어 암호화된 RoKRAT 악성코드를 파일리스 기반으로 실행해 단말 정보를 수집 후 은밀히 해외 클라우드 서버로 유출합니다.
[그림 1] APT37 그룹의 RoKRAT …
- 북한관련 질문지, 원고자료, 안보칼럼, 기고문, 월간지 등 사칭
- ZIP 압축 파일 내부에 LNK 유형의 악성 파일을 숨겨 전달
- DropBox, pCloud 등 클라우드 저장소를 공격 거점으로 악용
- APT37 그룹의 지속적인 RoKRAT 파일리스 기반 공격 진행
- Genian EDR을 통해 LNK 및 PowerShell 단계별 조기 탐지
1. 개요 (Overview)
○ 지니언스 시큐리티 센터(이하 GSC)는 설날 연휴가 끝나가는 2024년 2월 12일(월)부터 당월 말까지 수행된 다수의 APT37 소행 위협 캠페인을 식별했습니다. 이들은 △라자루스(Lazarus) △김수키(Kimsuky) △코니(Konni) 등과 함께 한국을 대상으로 한 주요 국가배후 위협 그룹 중 하나입니다. APT37은 주로 북 인권단체, 북한 취재 기자, 탈북민 등 주로 대북분야 종사자를 겨냥해 지속적으로 스피어 피싱을 수행 중 입니다.
○ GSC는 실제 사례별 심층 분석을 통해 LNK 파일에 내장된 PowerShell 명령이 초기 공격에 꾸준히 활용됨을 확인했습니다. 이는 위협 행위자 관점에서 Anti-Virus 탐지 회피에 어느정도 효과가 입증됐을 것입니다. 더불어 암호화된 RoKRAT 악성코드를 파일리스 기반으로 실행해 단말 정보를 수집 후 은밀히 해외 클라우드 서버로 유출합니다.
[그림 1] APT37 그룹의 RoKRAT …
IoC
0ee76a97449a20eed335b4db7327cb44
491947a5c5b97355989f674114e59a31
7bce02dc0026e271615d4d0e441ca397
81a7d6f88c0fb1705a16fc59ad261f35
ad2761910997c801b3347bd3745dd2b9
aff44804011d77e1050b912b6e6a62c5
bdf18a2d9a94c348cac9efc51d59a75a
fe5520783f715549cc3c4df9deaf89bf
[email protected]
[email protected]
[email protected]
491947a5c5b97355989f674114e59a31
7bce02dc0026e271615d4d0e441ca397
81a7d6f88c0fb1705a16fc59ad261f35
ad2761910997c801b3347bd3745dd2b9
aff44804011d77e1050b912b6e6a62c5
bdf18a2d9a94c348cac9efc51d59a75a
fe5520783f715549cc3c4df9deaf89bf
[email protected]
[email protected]
[email protected]