North Korean Hackers Use ZIP Files to Deploy Malicious PowerShell Scripts
North Korean Hackers Use ZIP Files to Deploy Malicious PowerShell Scripts
North Korean state-sponsored hackers, known as APT37 or ScarCruft, have been employing sophisticated tactics to breach systems.
gbhackers.com
- 개요
- 북한 연계 해킹 조직 APT37(ScarCruft)는 악성 ZIP 파일을 활용하여 PowerShell 기반 다단계 공격을 수행
- 최종 페이로드로 원격 제어 트로이 목마(RAT)인 RokRat을 배포하여 시스템 정보 탈취 및 원격 명령 실행
- 공격에는 LNK 파일, BAT 스크립트, PowerShell, 암호화된 페이로드 및 클라우드 서비스 기반 C2(Command and Control) 통신이 포함됨
- 공격 흐름
- 피싱 메일에 ZIP 파일 첨부
- 메일 내용은 북한 관련 외교 문서, 통상 협약 등 실제 정보로 위장
- ZIP 압축 파일 내 LNK 파일 실행 시 다음 단계 진행
- 시스템 폴더(System32, Program Files)에서 실행 중인지 확인 후, 필요 시 %temp% 디렉토리로 이동
- shark.bat, caption.dat, elephant.dat, HWPX 문서 등 페이로드 구성 요소 추출
- shark.bat 실행
- 숨김 창에서 PowerShell 명령 실행
- elephant.dat 로드 후 caption.dat를 단일 바이트 XOR 키로 복호화하여 메모리 내 실행
- RokRat 설치
- 시스템 정보(OS, 사용자명, 프로세스 등) 수집
- 스크린샷 캡처 및 실행 중 프로세스 나열
- 클라우드 기반 C2 서버(pCloud, Yandex, Dropbox)로 데이터 송신
- 피싱 메일에 ZIP 파일 첨부
- C2 통신 및 악성 기능
- 정상 클라우드 API를 이용하여 C2 통신
- OAuth 토큰을 통해 API 접근, 데이터 업로드 및 삭제 수행
- 일반적인 트래픽에 혼합되어 탐지 회피
- 명령 수신 및 실행
- C2 서버로부터 명령을 AES-CBC 방식으로 수신 후 복호화
- 명령에는 시스템 정보 탈취, 파일 삭제, 악성코드 종료 명령 등 포함
- 암호화 방식: XOR, RSA, AES 복합 사용
- 정상 클라우드 API를 이용하여 C2 통신
- 분석 회피 기법
- 가상환경 탐지: VMware Tools 존재 여부 확인
- 샌드박스 탐지: 임시 파일 생성 및 삭제로 동적 분석 회피
- 디버거 탐지: IsDebuggerPresent API 호출을 통해 디버깅 여부 확인
- 결론
- APT37은 다양한 플랫폼(Windows, Android)을 타깃으로 활동 범위를 확장하고 있으며, 정교한 PowerShell 기반 로더 구조와 클라우드 위장형 C2 기술을 사용
- 기업 및 기관은 ZIP/LNK 기반의 악성 피싱 메일 탐지 강화 필요
- PowerShell 실행 정책 제한 및 BAT 실행 차단 정책 적용
- 클라우드 서비스 트래픽 내 이상 행위 탐지 위한 네트워크 보안 모니터링 강화
- APT37 관련 IoC(지표), 해시값, C2 도메인에 대한 차단 정책 수립 및 최신화 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Linux 커널 내 Rust 코드 도입과 메모리 안전성 확보를 위한 진전 (0) | 2025.04.13 |
|---|---|
| EncryptHub 악용한 다단계 악성코드 공격 확산 (1) | 2025.04.13 |
| 생성형 AI와 섀도우 IT의 경계 흐림, CISO의 역할 재정의 필요 (0) | 2025.04.12 |
| 성능 중심의 선택, 베어메탈 클라우드의 존재 이유와 활용 전략 (0) | 2025.04.12 |
| 슬랙과 클라우드를 효율적으로 활용하는 7가지 방법 (0) | 2025.04.12 |