Kant's IT/Issue on IT&Security
APT34의 금융 및 통신 부문 대상 맞춤형 악성코드 캠페인 분석
Kant Jo
2025. 5. 11. 13:00
APT34 Deploys Custom Malware Targeting Finance and Telecom Sectors
APT34 Deploys Custom Malware Targeting Finance and Telecom Sectors
APT34, also known as OilRig or Helix Kitten, has intensified its cyber-espionage campaigns, deploying custom malware.
gbhackers.com
- 공격 개요 및 대상
- APT34(OilRig 또는 Helix Kitten)은 중동 연계 사이버 첩보 그룹으로, 2012년부터 활동
- 최근 이라크 정부기관을 포함한 금융 및 통신 부문 조직을 대상으로 맞춤형 악성코드 배포
- 주로 PDF 초청장 또는 문서 파일로 위장하여 피해자의 실행을 유도
- 악성코드 동작 방식
- 실행 시 백도어 설치, 암호화된 설정 파일 배치, 타임스탬프 조작을 통해 탐지 회피
- “MonitorUpdate” 등의 명칭으로 위장한 예약 작업을 생성하여 지속성 확보
- 명령제어(C2) 채널로 HTTP 및 이메일 기반 통신 병행
- HTTP 기반: 웹 콘텐츠에 은닉된 난독화 명령을 통해 제어
- 이메일 기반: 탈취한 이라크 정부 메일 계정 활용해 은밀히 명령 송수신
- C2 인프라 특징 및 은폐 기법
- 유럽 기반 인프라 활용
- 정상적인 404 오류 페이지를 흉내 낸 페이크 리스폰스를 통해 악성 행위 은폐
- 악성코드 기술 분석
- C#로 작성되었으며, Base64와 XOR 조합을 이용한 문자열 복호화 방식으로 탐지 우회
- 가상환경 탐지를 위해 메인보드 정보, 시스템 설치 일자 등을 확인
- 설치 후 3개월 미만 혹은 가상화 환경 감지 시 실행 중지
- 실행 후 주요 기능 수행
- 호스트 정보 암호화 후 업로드
- C2 명령에 따라 파일 업로드/다운로드
- 로컬 설정 파일 복호화하여 추가 명령 수행
- 예약 작업 및 타임스탬프 조작으로 은폐 및 지속성 강화
- IOC 및 보안 대응
- ThreatBook 분석 결과, 다수의 IOC(도메인, IP, 파일 해시 등) 수집됨
- 일부 C2 서버는 더 이상 명령을 반환하지 않음 → 운영 중단 또는 인프라 변경 가능성 시사
- 결론
- APT34는 고도화된 맞춤형 악성코드와 다중 은폐 전술을 결합하여 전략적 첩보 수집 목표 수행
- 금융, 통신, 정부 등 고가치 부문에 대한 위협은 지속적으로 진화 중
- 정기적인 위협 인텔리전스 수집, 엔드포인트 모니터링, 피싱 대응 훈련 및 예약 작업 점검이 필수적임