APT37 탐지: 북한 해커, 체코 및 폴란드 조직에 Konni RAT 배포

The APT37, 일명 Reaper, Ricochet Chollima, 및 ScarCruft는 북한과 관련된 해킹 그룹입니다. 이 해커들은 최소 2012년부터 활동했으며, 주로 한국의 공공 및 민간 부문의 조직을 목표로 삼았습니다. 2017년부터 적들은 목표를 확장하여 이제 전 세계적으로 피해자를 찾아내고 있습니다. 영향을 받는 분야로는 제조, 전자, 의료 및 자동차 산업 수직 계열이 포함되지만 이에 국한되지 않습니다.

가장 최근의 STIFF#BIZON 캠페인에서 APT37 그룹은 Konni로 알려진 원격 액세스 트로이 목마(RAT)로 확인된 악성코드를 사용하여 시스템 내에서 지속성을 유지하고 호스트 권한 상승을 수행합니다. Konni RAT는 북한 기반의 해킹 그룹에 의해 발생한 것으로 추정됩니다 Thallium 및 APT37.

APT37의 활동 탐지

북한 해커들은 목표에 대한 불법 접근을 얻기 위해 소셜 엔지니어링 전술을 지속적으로 강화하고 있습니다. APT37에 대해 선제적으로 방어하기 위해 SOC Prime은 통찰력 있는 위협 현상금 개발자 Kyaw Pyiyt Htet:

명령과 관련된 탐지를 통해 북한 APT37의 Konni 악성코드 활동 단속 (CmdLine)

사이버 공격 발생 건수의 대폭적인 증가로 인해 사이버 위험 발전에 주의해야 하는 중요성이 강조됩니다. SOC Prime의 포괄적인 탐지 콘텐츠 라이브러리는 200,000개의 컨텍스트 강화를 통해 구체적으로 정리되고 검증된 탐지 콘텐츠와 함께 MITRE ATT&CK® 프레임워크 와 일치하게 되어 위협 커버리지를 발전시킵니다. APT37의 활동과 관련된 Sigma 규칙 리포지토리에 접근하려면 탐지 & 헌트 버튼을 누르세요. 최신 콘텐츠 업데이트와 관련 위협 컨텍스트를 보려면 위협 컨텍스트 탐색 버튼을 눌러주세요.

탐지 & 헌트 위협 컨텍스트 탐색

APT37의 STIFF#BIZON 캠페인 분석

Reaper APT 그룹은 최신 캠페인에서 Konni RAT 악성코드를 이메일 피싱 사기를 통해 확산하며 고가치 조직을 대상으로 하고 있습니다. 현재 데이터에 따르면 주요 목표는 체코와 폴란드의 조직입니다.

북한 해킹 그룹은 Konni RAT(2017년 처음 발견됨)를 피싱 메시지와 함께 배포합니다. 악성 첨부 파일은 Word 문서(missile.docx)와 Windows 바로가기 파일(_weapons.doc.lnk.lnk)을 포함한 압축 파일로 구성되어 있다고 Securonix Threat Labs연구 리포트에 명시되어 있습니다. 공격 체인의 초기 침투 부분(악성 .lnk 파일을 통한 타협)은 Bumblebee and DogWalk.

와 관련된 다른 캠페인과 유사합니다. 피해자가 무기화된 파일을 열면 감염 체인이 시작됩니다. 적들은 Konni RAT를 사용하여 피해자 정보를 수집하고, 스크린샷을 캡처하고, 관심 있는 파일을 도용하며, 원격 인터랙티브 셸을 구축합니다.

최고 수준의 전문가와 도구를 사이버 방어의 일환으로 확보하세요: Uncoder CTI, SOC Prime의 플랫폼으로 구동되어 보안 연구원들이 여러 종류의 IOC를 사용자 정의 쿼리로 자동 변환하여 고유한 고객 환경에 대한 즉각적인 IOC 검색을 가능하게 합니다.