2024년 08월 APT 공격 동향 보고서(국내)

본 보고서는 2024년 8월 한 달 동안 확인된 APT 국내 공격에 대한 분류 및 통계를 다루며, 유형별 기능을 소개한다.  아래는 일부의 내용을 요약한 정보이다.
 

[목차]

개요  APT 국내 공격 동향  1) Spear Phishing  1.1 LNK를 활용한 공격  1.2 HWP를 활용한 공격  1.3 JSE를 활용한 공격  1.4 CHM를 활용한 공격  1.5 MSC를 활용한 공격  1.6 EXE를 활용한 공격 1.7 SCRIPT 활용 추정 공격  안랩 대응 현황  결론  IoC (Indicators of Compromise)  주요 파일 이름  파일 Hashes (MD5)  관련 도메인, URL 및 IP 주소

[개요]

 

안랩은 자사 인프라를 활용하여 국내 타겟의 APT(Advanced Persistent Threat) 공격에 대한 모니터링을 진행하고 있다. 본 보고서에는 2024년 8월 한 달 동안 확인된 APT 국내 공격에 대한 분류 및 통계를 다루며, 유형별 기능을 소개한다.

그림 1. 2024년 8월 APT 국내 공격 통계

국내 유포가 확인된 APT 공격에 대해서는 침투 유형별로 분류하였으며 대부분 Spear Phishing 유형으로 확인되었다. 2024년 8월에는 침투 유형 중 Spear Phishing을 활용한 HWP 및 MSC 확장자 파일이 다수 확인되었다.
 

[APT 국내 공격 동향]

 

2024년 8월에 확인된 APT 국내 공격의 침투 유형별 사례 및 기능은 다음과 같다.

 

1)   Spear Phishing

 

Spear Phishing이란, 특정 개인이나 집단을 대상으로 하는 피싱 공격의 일종이다. 일반적인 피싱과 달리, 공격자는 공격을 수행하기 전 정찰 단계를 통해 공격 대상자에 대한 정보를 수집하고 파악한다. 공격자는 수집된 정보를 활용하여 피싱 이메일을 제작하기 때문에 해당 메일을 수신 받은 사용자는 신뢰할 수 있는 이메일로 판단할 확률이 높다. 또한, 이메일 스푸핑을 통해 발신자 주소를 위조하는 사례도 존재하며, 대다수의 Spear Phishing은 이메일 내 악성 첨부 파일 또는 악성 링크를 포함 후 사용자의 실행을 유도한다.

해당 기법을 활용하여 유포된 유형은 다음과 같다.

 

1.1         LNK를 활용한 공격

 

Type A

 

해당 유형은 RAT 악성코드를 실행하는 유형이다. 주로 압축 파일 형태로 정상 파일과 함께 유포되는 것으로 확인되며, 유포가 확인된 LNK에는 악성 파워쉘 명령어가 포함되어 있다. DropBox API 또는 Google Drive를 활용하여 악성코드를 다운로드하는 방식 외에도 최근 확인된 LNK 파일은 실행 시 TEMP 혹은 PUBLIC 폴더에 추가 스크립트 파일과 난독화된 RAT 악성코드를 생성하는 방식을 사용한다. 최종적으로 실행되는 RAT 악성코드는 키로깅, 화면 캡처 등 공격자의 명령에 따라 다양한 악성 행위를 수행한다. 확인된 RAT 유형으로는 XenoRAT, RoKRAT 등이 있다.

확인된 파일명은 다음과 같다.

 

파일명

신미양요.lnk

표 1. 확인된 파일명

 

Type Unknown

 

해당 유형은 스피어 피싱을 통해 유포되었지만 앞서 설명한 유형에 포함되지 않는 유형이다.

확인된 파일명은 다음과 같다.

 

파일명

(주)에스**케미칼_견적서_240811_1-1400.docx.lnk

[디*] 해촉증명서 보완서류.docx.lnk

2024_2 관악모둠강좌 강의계획서 0810.lnk

Balu Travel_20240813.docx.lnk

강*롱 요청사항.docx.lnk

결산서 관련서류.docx.lnk

공공 소각열에너지 관련 보완서류.docx.lnk

광복절 기념품(최*석).pdf.lnk

표 2. 확인된 파일명

1.2         HWP를 활용한 공격

 

Type B

 

해당 유형은 한글 문서 내부에 포함된 배치 파일(*.BAT)을 통해 추가 악성 스크립트를 다운로드 및 실행하는 유형이다. 문서 열람 시 문서 내부에 포함된 악성 배치 파일이 TEMP 폴더에 생성된다. 공격자는 해당 배치 파일이 실행될 수 있도록 사용자의 클릭을 유도하는 내용을 문서 본문에 작성한다. 배치 파일 실행 시 외부 URL에 접속하여 추가 파일을 다운로드 및 실행한다. 또한, 악성코드의 지속성을 위해 작업 스케줄러 등록 또는 런키 등록을 수행하며 다운로드 되는 스크립트 코드에 따라 커맨드 라인 실행 등 다양한 악성 행위를 수행할 수 있다.

확인된 파일명은 다음과 같다.

 

파일명

[통일부 인권인도실] 북한 이탈주민 정착과 인권문제 관련 1.5트랙 기획안 (1).hwp

0910-24 Read-Ahead(pw; F15azx@!).hwp

Grieco Kavanagh Passive Supporters.hwp

강연 개요서(pw13579).hwp

강연의뢰서.hwp

붙임1.사례비 지급의뢰서.hwp

원고작성 세칙.hwp

표 3. 확인된 파일명

사용자가 정상 파일을 실행한 것처럼 보이게 하기 위한 디코이 파일은 다음과 같다.

그림 2. 확인된 디코이 파일

 

MD5

085bebd949c45ec39dbe2a2b09d063d6

100e0fdae087054dbc1d8fc364b07e2e

11f1d61cf041bede4911767b580e56dd

1549ede872ca017eea0f053ec08c0f34

17f0dfbaaa9998aa0cffde716ececd4e

URL

http[:]//103[.]251[.]107[.]3/down[.]php?file=2[.]bin

http[:]//103[.]251[.]107[.]3/down[.]php?file=32[.]bin

http[:]//103[.]251[.]107[.]3/down[.]php?file=62[.]bin

http[:]//112[.]217[.]201[.]68[:]54350/

http[:]//159[.]100[.]13[.]216[:]5566/

FQDN

a98f3ce[.]shop

bossmakemoney[.]rest

checker[.]jetos[.]com

flashcore[.]shop

googlesharepoint[.]com