2024년 02월 APT 공격 동향 보고서(국내)
개요
안랩은 자사 인프라를 활용하여 국내 타겟의 APT(Advanced Persistent Threat) 공격에 대한 모니터링을 진행하고 있다. 본 보고서에는 2024년 2월 한 달 동안 확인된 APT 국내 공격에 대한 분류 및 통계를 다루며, 유형별 기능을 소개한다.
그림 1. 2024년 2월 APT 국내 공격 통계
국내 유포가 확인된 APT 공격에 대해서는 침투 유형별로 분류하였으며 대부분 Spear Phishing 유형으로 확인되었다. 2024년 2월에는 침투 유형 중 Spear Phishing 을 활용한 LNK 유포가 가장 많은 비중을 차지하였다.
APT 국내 공격 동향
2024년 2월에 확인된 APT 국내 공격의 침투 유형별 사례 및 기능은 다음과 같다.
1) Spear Phishing
Spear Phishing이란, 특정 개인이나 집단을 대상으로 하는 피싱 공격의 일종이다. 일반적인 피싱과 달리, 공격자는 공격을 수행하기 전 정찰 단계를 통해 공격 대상자에 대한 정보를 수집하고 파악한다. 공격자는 수집된 정보를 활용하여 피싱 이메일을 제작하기 때문에 해당 메일을 수신 받은 사용자는 신뢰할 수 있는 이메일로 판단할 확률이 높다. 또한, 이메일 스푸핑을 통해 발신자 주소를 위조하는 사례도 존재하며, 대다수의 Spear Phishing은 이메일 내 악성 첨부 파일 또는 악성 링크를 포함 후 사용자의 실행을 유도한다.
해당 기법을 활용하여 유포된 유형은 다음과 같다.
1.1 LNK를 활용한 공격
Type A
해당 유형은 여러 악성 스크립트가 압축된 CAB 파일을 생성하여 정보 유출 및 추가 악성코드를 다운로드하는 유형이다. 유포 파일인 LNK에는 악성 파워쉘 명령어가 포함되어 있어 이를 통해 LNK 파일에 내부에 존재하는 CAB 파일 및 디코이 문서 데이터를 추출하여 사용자 PC에 생성한다. 이후 CAB 파일을 압축 해제하여 내부에 포함된 다수의 스크립트(bat, ps1, vbs 등) 파일을 실행한다. 실행된 스크립트 파일은 사용자 PC 정보 유출, 추가 파일 다운로드 등의 악성 행위를 수행할 수 있다.
확인된 파일명은 다음과 같다.
|
파일명 |
|
제20회 북한자유주간 일정및 참가자 명단.hwp.lnk |
표 1. 확인된 파일명
사용자가 정상 파일을 실행한 것처럼 보이게 하기 위한 디코이 파일은 다음과 같다.
그림 2. 확인된 디코이 파일
Type B
해당 유형은 DropBox API 또는 Google Drive를 활용하여 RAT 악성코드를 다운로드하는 유형이다. 주로 압축 파일 형태로 정상 파일과 함께 유포되는 것으로 확인되며, 유포가 확인된 LNK에는 악성 파워쉘 명령어가 포함되어 있다. LNK 실행 시 파워쉘 명령어를 통해 Google Drive에 접속하여 공격자가 업로드한 악성코드를 다운로드하거나 DropBox API를 활용하여 AES로 암호화된 악성코드를 다운로드한다. 주로 RAT 유형의 악성코드가 다운로드 되어 키로깅, 화면 캡처 등 공격자의 명령에 따라 다양한 악성 행위를 수행한다. 확인된 RAT 유형으로는 XenoRAT, RokRAT, tutRAT 등이 있다. 이 외에도 추가 악성 스크립트 코드를 다운로드하여 정보 유출 등의 행위를 수행하는 경우도 확인된다.
확인된 파일명은 다음과 같다.
|
파일명 |
|
(붙임2)202404 국회입법조사처태영호 위원실 정책간담회 회의 일정 계획(안).hwp.lnk |
|
202404_주중한국대사관 한중 북중·안보현안 1.5트랙 비공개 정책간담회 대면회의 계획(안).hwp.lnk |
|
IMG_20240214_0001.pdf.lnk |
|
2024_조찬세미나_한국품질재단_강연수락서_박** 교수님.xlsx.lnk |
|
(안보칼럼) 반국가세력에 안보기관이 무기력해서는 안된다.lnk |
|
대한민국은 아직도 건국전쟁과 민주주의전쟁중(초안2024028).lnk |
|
이**.lnk |
|
원고 윤정부 대공수사권 인식202401.lnk |
|
**연구소_제30기_**국가전략연수과정_강의의뢰서_한**원장님.hwp.lnk |
표 2. 확인된 파일명
