골드 드래곤 백도어 탐지: 금수기 해커, 골드 드래곤 악성코드 사용해 다시 공격

[post-views]
3월 25, 2022 · 3 분 읽기
골드 드래곤 백도어 탐지: 금수기 해커, 골드 드래곤 악성코드 사용해 다시 공격

북한의 APT Kimsuky가 최근 진행한 해킹 캠페인은 2022년 1월 말에 시작되었으며 여전히 진행 중입니다. 이번에는 Kimsuky 해커가 맞춤형 악성코드 Gold Dragon과 함께 설치된 상용 오픈 소스 원격 액세스 도구(RAT)로 무장하고 있습니다.

Gold Dragon 백도어 탐지

Gold Dragon 악성코드로 시스템이 손상되었는지 식별하려면 숙련된 Threat Bounty 개발자가 제공한 다음 규칙을 사용하세요. Furkan Celik and Osman Demir:

Quasar Gold Dragon 탐지 (2월) (레지스트리 이벤트 통해)

이 탐지는 Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Apache Kafka ksqlDB, Open Distro 등의 SIEM, EDR & XDR 플랫폼을 위한 번역을 포함합니다.

이 규칙은 최신 MITRE ATT&CK® 프레임워크 v.10과 일치하며, 주요 기술로 부팅 또는 로그온 자동 시작 실행(T1547)을 사용하는 지속성 전술을 다룹니다.

탄소 배출 전문 기업을 대상으로 한 의심스러운 위협 행위자 활동 (프로세스 생성 통해)

이 탐지는 Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Apache Kafka ksqlDB, AWS OpenSearch, Securonix, Open Distro 등의 SIEM, EDR & XDR 플랫폼을 위한 번역을 포함합니다.

이 규칙은 최신 MITRE ATT&CK® 프레임워크 v.10과 일치하며, 주요 기술로 명령 및 스크립팅 인터프리터(T1059), 서명된 바이너리 프록시 실행(T1218)을 사용하는 실행 및 방어 회피 전술을 다룹니다.

SOC Prime 플랫폼의 Threat Detection Marketplace 리포지토리에서 Kimsuky APT와 관련된 전체 탐지 목록을 사용할 수 있습니다. 여기.

SOC Prime은 보안 전문가들에게 대해 러시아 지원 사이버 공격 우크라이나 군사 공격과 함께 러시아의 공격적 사이버 공격에 맞서기 위해 온 힘을 다할 것을 촉구합니다. SOC Prime의 Quick Hunt 모듈은 #stopwar, #stoprussian, #stoprussianagression 태그를 포함하여 러시아의 공격과 관련된 포괄적인 위협 탐지 콘텐츠에서 효율적으로 탐색할 수 있게 해줍니다. 아래 링크를 통해 관련 위협을 즉시 검색할 수 있는 무료 전용 위협 탐지 쿼리를 사용할 수 있습니다.

러시아 발 위협을 탐지하기 위한 모든 탐지 콘텐츠 모음

업계 리더와 연결하고 자신의 콘텐츠를 개발하고 싶으신가요? SOC Prime의 군중소싱 이니셔티브에 콘텐츠 기여자로 참여하여 자신의 Sigma 및 YARA 규칙을 글로벌 사이버 보안 커뮤니티와 공유하면서 협력적인 사이버 방어를 강화하세요.

탐지 보기 Threat Bounty 참가

Kimsuky APT 공격

Kimsuky, 일명 TA406,은 2013년부터 활동 중인 북한 관련 APT 그룹입니다. 1월 말에 시작된 최근 캠페인은 한국 조직을 대상으로 상용 RAT를 사용하는 것이 특징입니다. 상용 RAT를 사용하면 위협 행위자가 감염된 기기에서 사용 가능한 보호 도구와 절차에 따라 보다 구체적인 기능을 필요로 하는 차후 단계 악성코드 생성에 집중할 수 있습니다. 최근의 공격에서 해커들은 감염된 시스템에서 흔적을 지우기 위해 xRAT와 함께 추가 파일(“UnInstall_kr5829.co.in.exe”)을 배포했습니다.

에 따르면 ASEC 연구원, Kimsuky는 그들의 맞춤형 백도어 Gold Dragon의 변형을 사용했습니다. 이것은 독점 설치 프로그램(“installer_sk5621.com.co.exe”)을 통해 설치된 2단계 백도어입니다. 이 설치 프로그램은 악성코드 페이로드의 지속성을 보장하기 위해 새로운 레지스트리 항목(“glu32.dll”)을 생성합니다. Gold Dragon 백도어 분석 결과 해커들이 감염된 기기에서 데이터를 수동으로 훔치기 위해 xRAT 도구를 다운로드하는 데 사용한다는 것을 보여줍니다.

위급한 시기에는 위급한 조치가 필요합니다! 사이버 보안 전문가의 글로벌 커뮤니티의 힘으로 위협 탐지 역량을 향상시키기 위해 SOC Prime의 Detection as Code 플랫폼과 함께하세요. 또한, SOC Prime의 탐지 코드 플랫폼 에 기여하여 협력적인 전문 지식을 향상시킬 수 있습니다. SOC Prime의 군중소싱 이니셔티브. Sigma 및 YARA 규칙을 작성하고 제출하여 플랫폼에 게시되고 귀하의 기여에 대한 반복적인 보상을 받으세요.

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물

CVE-2025-8088 탐지: WinRAR 제로데이, RomCom 악성코드를 설치하기 위해 야생에서 적극적으로 악용됨 4 분 읽기 최신 위협 CVE-2025-8088 탐지: WinRAR 제로데이, RomCom 악성코드를 설치하기 위해 야생에서 적극적으로 악용됨 by Daryna Olyniychuk CVE-2025-6558 취약점: 구글 크롬 제로데이 공격 사례 분석 3 분 읽기 최신 위협 CVE-2025-6558 취약점: 구글 크롬 제로데이 공격 사례 분석 by Daryna Olyniychuk CVE-2025-25257: FortiWeb의 치명적 SQL 인젝션 취약점으로 인증 없이 원격 코드 실행 가능 3 분 읽기 최신 위협 CVE-2025-25257: FortiWeb의 치명적 SQL 인젝션 취약점으로 인증 없이 원격 코드 실행 가능 by Veronika Telychko
모든 뉴스