North Korean Hackers Using New VeilShell Backdoor in Stealthy Cyber Attacks
- 개요
- 북한과 연계된 해커 그룹이 VeilShell이라는 새로운 백도어와 원격 접근 트로이 목마(RAT)를 이용하여 캄보디아 및 동남아시아 국가들을 대상으로 은밀한 사이버 공격을 수행
- 이 활동은 SHROUDED#SLEEP로 명명되었으며, APT37(ScarCruft, InkySquid, RedEyes)로 알려진 북한 국가안전보위부 소속 해커 그룹이 배후로 지목됨
- 공격 방식
- 첫 번째 단계에서 사용된 ZIP 파일은 Windows 바로 가기 파일(LNK)을 포함하며, 스피어 피싱 이메일을 통해 전달되는 것으로 의심됨
- VeilShell 백도어는 PowerShell 기반으로, 감염된 시스템에 완전한 접근을 허용하여 데이터 유출, 레지스트리 및 작업 스케줄링 조작 등의 기능을 수행
- LNK 파일이 실행되면 PowerShell 코드가 실행되어 다음 단계의 구성 요소가 디코딩되고 추출됨
- 특징적인 공격 체인
- Excel 또는 PDF 문서가 사용자를 속이기 위한 미끼로 사용되며, 그동안 백그라운드에서 악성 구성 파일 및 DLL 파일(DomainManager.dll)이 Windows 시작 폴더에 쓰여짐
- AppDomainManager 주입 기법을 이용해 악성 DLL 파일을 실행, VeilShell 백도어를 로드함
- 이 기술은 최근 중국과 연계된 Earth Baxia 그룹에서도 사용된 바 있음
- VeilShell의 기능
- VeilShell은 C2 서버와 통신하여 파일 정보 수집, ZIP 파일 업로드, 파일 다운로드, 파일 이름 변경 및 삭제 등의 작업을 수행
- 각 단계에서 공격자는 긴 대기 시간을 두어 전통적인 탐지 방식을 우회하려는 노력을 기울임
- APT37의 장기적 침투 전략
- 이 공격은 장기적인 통제를 목표로 하며, 동남아시아를 대상으로 한 복잡한 실행 및 지속성 메커니즘을 특징으로 함
- Broadcom 소속 Symantec은 최근 2024년 8월, 북한의 Andariel 그룹이 미국의 세 개 조직을 재정 동기화된 캠페인의 일환으로 공격했다고 보고
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 마이크로클라우드의 성장과 사이버보안의 변화 (0) | 2024.10.11 |
|---|---|
| 미 연방정부 감청 시스템, 중국 정부 연계 해킹 그룹에 노출 (0) | 2024.10.10 |
| Google Pixel의 새로운 보안 기능: 2G 취약점 및 Baseband 공격 차단 (1) | 2024.10.10 |
| Perfctl 멀웨어 경고: Linux 서버 대상 암호화폐 채굴 및 Proxyjacking 공격 (0) | 2024.10.10 |
| 전자금융거래법 위반에 대한 양형기준 강화 (2) | 2024.10.10 |