Information Security ˗ˋˏ ♡ ˎˊ˗

Security/Network

[Network] APT(지능형 지속 위협) Attack Group

토오쓰 2020. 9. 10. 20:15

 

"APT 공격 그룹에 대한 조사"

 

 

 

1. APT 공격

- Advanced Persistent Threats(지능적 지속 위협)

- 지능적인 방법을 사용하여 지속적으로 특정 대상을 공격하는 것, 특정 개인 또는 조직을 타깃으로 삼고, 정보를 파악한 후 미끼를 던져 침투하는 지능적인 방식이 큰 특징이다.

- 과정: 침투 -> 검색 -> 수집 -> 유출

 

 

 

2. APT(지능형 지속적 위협) 공격 그룹

- 정의: 데이터를 훔치거나, 운영을 중단하거나 인프라를 파괴하려고 한다. 대부분의 사이버 범죄자와 다른 점은 몇 달 또는 몇 년에 걸쳐 목표를 달성하려고 한다.

그룹 이름

개요

관련 악성코드

공격 경로

APT 39(이란)

통신 및 여행 산업에 집중하는 것은 특정 개인을 대상으로 모니터링, 추적 또는 감시활동을 수행하거나, 국가의 주요 과제에 관련한 전략적 요건을 뒷받침하기 위해 상업적 또는 작전상의 목적으로 데이트 수집하거나 추가적인 액세스 및 경로를 확보하려는 의도

SEAWEED,
CACHEMONEY, 
POWBAT 백도어의 특정 변형 버전

POWBAT 감염을 유발하는 악성 첨부 파일이 포함된 스피어 피싱 이메일 및 하이퍼링크를 활용

합법적인 웹 서비스와 조직을 가장한 도메인을 자주 등록 및 활용

APT34(이란)

금융, 정부기관, 에너지, 화학 및 통신을 비롯한 다양한 산업을 대상으로 공격

POWBAT, POWRUNER, BONDUPDATER

Microsoft Office 취약점인 CVE-2017-11882를 활용

->원격코드 실행

-> 메모리 손상 취약점

(Memory Corruption Vulnerability)

-> EQNEDT32.EXE가 메모리상에서 특정 오브젝트를 적절하게 처리하지 못하는 과정에서 발생

APT41(중국)

비디오 게임 업계에서 가장 명확하게 나타나며, 가상 화폐 조작 및 랜섬웨어 배포 시도 등의 형태

최소 46가지 코드 및 도구를 사용

컴파일 된 HTML(.chm) 파일과 같은 첨부 파일이 있는 스피어 피싱 이메일을 주로 사용하여 피해자에게 초기 침투를 시도

APT18(중국)

우주 항공 및 방위, 건설 및 엔지니어링, 교육, 의료 및 생명공학, 하이테크, 통신 및 운송

Gh0st RAT

사전에 계획된 것으로 보이는 공격을 위해 빈번하게 개발되거나 조정된 제로 데이 익스플로잇이 발견

APT37(북한)

제로 데이 취약점 및 와이퍼 악성코드 액세스를 포함한 툴을 통해 공격의 범위를 확대하고 수준을 높여가는 것으로 확인

스파이 목적으로 이용되는 맞춤형 악성코드 외에 파괴적인 악성코드 사용

전략적 웹 해킹과 토렌트 파일 공유 사이트를 이용한 무차별 악성코드 배포

한글 워드 프로세서(HWP)와 Adobe Flash의 취약점을 자주 악용

제로 데이 취약점(CVE-2018-0802)에 액세스하고 이러한 취약점을 공격에 활용

Lazarus Group(북한)

특정 국가의 정부가 배경에 있을 것으로

추정되며 기술력과 조직력을 갖춘 것으로 평가되는 위협 그룹 중 하나이다.

Flame, 1 Mission, Troy, DarkSeoul, Ten Days of Rain

공격 대상 선택 기준이나 악성코드 프로파일링 등을 살펴본 결과, 여러 소그룹으로 분리되어 활동하고 있다.

중앙아메리카에 있는 온라인 카지노에 대한 공격에 디스크 삭제 도구인 KillDisk를 사용

 

 

 

3. APT 공격 그룹이 사용한 악성코드

악성코드

정의

주요 기능

Gh0st RAT

중국의 C. Rufus Security Team에서 개발되었으며 오픈소스로 공개된 원격 제어 악성코드

서버 프로그램은 클라이언트에 설치할 악성코드를 빌드할 수 있으며 클라이언트에 대한 통제 기능을 갖고 있다.

Flame

각 국가의 원자력, 전기, 반도체, 철강, 화학 같은 주요 산업 기반 시설 제어 시스템에 침투해 오작동을 유도한 뒤 시스템을 마비

단순히 사용자 아이디와 비밀번호를 수집하는 선이 아닌, 감염된 사실을 들키지 않게 주변 조건을 확인한 뒤 실행한다는 점에서 매우 지능적

Troy

악성 루틴이 숨어있는 프로그램,

겉보기에는 정상적인 프로그램으로 보이지만 실행하면 악성 코드를 실행한다.

정보유출 및 제어권 획득이 목적이므로 컴퓨터 사용자가 트로이목마의 침투 및 활동을 인식하지 못하도록 설계한다.

바이러스와 같이 복제 기능이 없으며 웜과 같이 증식 능력이 없는 악성프로그램이다.

DarkSeoul

한국의 TV 방송사와 적어도 두 곳의 주요 은행에 속한 컴퓨터 네트워크는 북한에서 시작된 악의적인 인터넷 공격

서버 및 클라이언트 시스템의 원격 접속 프로그램 인증 정보를 탈취하거나 백신을 종료시키고 디스크를 파괴시키는 악의적인 동작을 수행한다.

 

*카스퍼스키: 보안업체

 

 

참고

https://www.fireeye.kr/current-threats/apt-groups.html

 

지능형 지속적 위협 그룹 | FireEye

FireEye는 국가의 지시 및 지원을 받는 APT(지능형 지속적 위협) 그룹을 특별히 주시합니다.

www.fireeye.kr

https://attack.mitre.org/groups/

 

Groups | MITRE ATT&CK®

 

attack.mitre.org

https://asec.ahnlab.com/1334 -> Gh0st RAT

http://www.bloter.net/archives/112008 -> Flame

https://nakedsecurity.sophos.com/2013/03/20/south-korea-cyber-attack/ -> DarkSeoul