시기

·         2025년

공격 대상

·         유럽 공공·법률 부문 기관

·         한국 ERP 소프트웨어 벤더 및 해당 ERP를 사용하는 고객사

초기 침투

·         한국의 경우 ERP 소프트웨어 업체를 통한 공급망 공격

이용 취약점

·         알 수 없음

악성코드 및 도구

·         TigerRAT : 초기 거점 확보 및 명령 실행용 커스텀 RAT

·         JelusRAT : 인메모리 로딩·플러그인 기반 확장 기능을 갖춘 2단계 RAT

·         StarshellRAT : 명령 실행·파일 탈취·스크린샷 기능을 수행하는 .NET RAT

·         GopherRAT : 파일/폴더 탈취·SOCKS 터널링·시스템 열거 기능을 수행하는 Golang RAT

·         ASPXSHELL/TigerShell : 웹 서버 제어 및 명령 실행용 웹셸

·         Custom Port Scanner(ps.exe) : 내부 네트워크 포트 스캔

·         PetitPotato(커스텀) : MS-EFSR 악용 권한 상승

·         BYOVD(Process Explorer 드라이버 악용) : EDR/보안 프로세스 종료

·         Procdump/PassView/Plink/Socks5Server : 자격증명 탈취 및 터널링 보조 도구

기법

·         Scheduled Task 기반 지속성 확보 및 임플란트 재실행

·         LSASS/NTDS/레지스트리 덤프 통한 도메인·사용자 자격증명 수집

·         PowerShell·WMIC·Netstat 기반 내부 자산 및 네트워크 정찰

·         RDP 및 Impacket 활용 측면 이동

·         Windows Defender 비활성화 및 예외 설정 통한 탐지 회피

·         파일/툴/아티팩트 삭제 통한 포렌식 방해

·         ERP 업데이트 경로 트로이목마화를 통한 공급망 감염

·         인메모리 실행 및 웹셸 활용 통한 은닉 통신

피해

·         도메인 및 사용자 자격증명 탈취

·         내부 시스템 및 AD 정보 유출 가능성

·         자금세탁 관련 민감 문서 접근 및 정보 수집

·         ERP 고객사 다수에 대한 2차 감염 위험 발생

내용

·         Andariel이 서로 다른 지역과 방식으로 두 개의 독립적인 침투를 수행

·         하나는 직접 침투형 RAT 운영 공격, 다른 하나는 소프트웨어 업데이트 체인을 악용한 공급망 공격

출처

·         To the past and beyond: Andariel’s latest arsenal and cyberattacks[1]

시기

·         2025년 5월

공격 대상

·         한국 북한 분야 활동가

초기 침투

·         스피어 피싱 이메일 발송

·         메일 내 MEGA 클라우드 링크 클릭 유도

·         ZIP 다운로드 후 내부 LNK(바로가기) 실행 유도

·         LNK 실행 시 PowerShell 스크립트 실행 → 추가 악성 파일 다운로드·실행

이용 취약점

·         없음

악성코드 및 도구

·         LNK(바로가기): 내부 오프셋/ExtraData 기반 페이로드 포함, 실행 시 다수 악성 파일 생성 트리거

·         PowerShell: 추가 악성 파일 다운로드·실행, 시스템 정보 수집·업로드 수행

·         ms.exe: 정상 서명(Adersoft 인증서)된 런처 형태로 사용, 동일 경로 .manifest 자동 로드 확인 로직 포함

·         ms.exe.manifest: Base64 인코딩 데이터 포함, 디코딩 후 VBS 실행

·         1.vbs: pc366.ps1 실행 트리거

·         pc366.ps1: 시스템 정보 탈취 후 Dropbox 업로드, Dropbox에서 추가 파일 수신·실행

·         tmp.ini / park_yyy_MM-dd__HH_mm_info.ini: 수집 정보 저장 및 업로드용 파일명

·         1.bat: 공격자 서버에서 추가 파일 다운로드 및 실행

·         default_an.vbs: PowerShell 실행(콘솔 숨김) 및 default_an.ps1 실행

·         default_an.ps1: AnyDesk 관련 창/트레이 흔적 숨김·제거, default_an.exe 실행

·         default_an.exe: AnyDesk 실행 파일(버전 5.5.3.0로 서술)

·         service.conf / system.conf: AnyDesk 설정 파일로 서술

·         default5(XML): 5분마다 default_an.vbs 실행하는 Scheduled Task 등록용 스케줄러 구성 파일

·         curl: 추가 파일 다운로드에 사용

기법

·         LNK ExtraData에 다중 페이로드 은닉, XOR(0xAD) 디코딩 후 단계적 파일 생성

·         미끼 문서 실행으로 사용자 기만(정상 문서 화면 표시)

·         Scheduled Task 등록을 통한 주기적 실행(18분 주기 ms.exe 실행, 5분 주기 default_an.vbs 실행)

·         정상 클라우드 서비스(Dropbox) 악용 C2 통신 및 데이터 업로드

·         시스템 정보 수집(프로세스/OS 버전/공인 IP/백신 제품 등)

·         원격제어 도구(AnyDesk) UI 흔적 은폐(창/트레이 아이콘 숨김·삭제)

·         파라미터 기반 다운로드 인프라(d.php + newpa 파라미터)로 다수 파일 유연 전달

피해

·         피해자 시스템 정보 탈취 및 Dropbox 업로드

·         공격자 명령 수행을 위한 추가 파일 수신·실행 기능 수행

내용

·         대북 분야 활동가 대상 스피어 피싱으로 MEGA 링크 기반 악성 ZIP 유포, LNK 실행 시 PowerShell이 추가 페이로드를 내려받아 실행

·         Dropbox를 C2 채널로 사용해 수집 정보 업로드 및 추가 명령 수행용 파일 수신 구조

·         ms.exe(정상 서명 런처) + .manifest(Base64 VBS) 로딩 방식 및 pprb/d.php?newpa= 형태 다운로드 인프라를 근거로 공격 주체를 Kimsuky(APT43)로 추정

출처

·         [월간위협분석] Dropbox를 이용한 Kimsuky 공격 그룹의 최신 정보 탈취 사례[2]