Shrouded#Sleep 캠페인 탐지: APT37 그룹과 연계된 북한 해커가 동남아시아를 겨냥한 새로운 VeilShell 악성코드 사용
목차:
북한과 연계된 APT 그룹은 지난 10년 동안 가장 활발한 적대자 중 하나로 꾸준히 평가받아 왔습니다. 올해 보안 전문가들은 강화된 도구 세트와 확장된 범위의 공격 대상 덕분에 그들의 악성 작전이 크게 증가했다고 관찰했습니다. 2024년 8월, 북한 해커들은 그들의 무기고를 강화했습니다. MoonPeak 트로이 목마로. 한 달 전인 2024년 7월, CISA, FBI, 그리고 국제 파트너들이 Andariel APT 그룹의 글로벌 사이버 첩보 활동 에 대한 공동 경고를 발행했습니다. 이러한 사건에 이어, 북한과 연계된 APT37 은 동남아시아에서 악명 높은 VeilShell 백도어를 배포하면서 공격을 강화했습니다.
VeilShell 백도어 공격 탐지 – SHROUDED#SLEEP 캠페인 내 APT37
잠재적 침입을 막고 초기 단계에서 공격을 탐지하기 위해, 보안 실무자들은 북한 해커가 사용하는 특정 TTP를 다루는 큐레이션된 탐지 콘텐츠를 찾고 있습니다. 사이버 수호자들은 집단 사이버 방어를 위해 SOC Prime 플랫폼에 의존할 수 있으며, 이는 고급 위협 탐지, AI 기반 탐지 엔지니어링, 자동화된 위협 사냥을 위한 완전한 제품 스위트로 뒷받침된 맞춤형 탐지 콘텐츠 세트를 제공합니다.
아래의 탐지 항목 탐색 버튼을 클릭하여 APT37에 의한 SHROUDED#SLEEP 공격을 해결하는 Sigma 규칙 모음으로 즉시 드릴 다운할 수 있습니다. 이 규칙들은 30개 이상의 SIEM, EDR, 및 데이터 레이크 솔루션과 호환되며, MITRE ATT&CK® 프레임워크 와 매핑되어 위협 조사를 매끄럽게 합니다. 또한 탐지 내용은 광범위한 메타데이터로 보강되어 있으며, CTI 참조, 공격 타임라인, 삼각 및 감사 권장 사항 등을 포함합니다.
APT37의 활동을 분석하고 그룹이 사용하는 TTP에 상시 대비할 수 있는 추가 탐지 콘텐츠를 찾고 있는 사이버 보안 전문가들은 SOC Prime 팀이 큐레이션한 전용 규칙 세트를 탐색할 수 있습니다. ‘APT37’ 태그를 사용하여 위협 탐지 마켓플레이스를 탐색하거나, 이 링크를 통해 APT37 규칙 모음에 직접 접근 할 수 있습니다.
SHROUDED#SLEEP 캠페인 분석
이 인식된 그룹, 흔히 InkySquid, APT37 , RedEyes, Ricochet Chollima, 혹은 Ruby Sleet라는 별명으로 알려진 이들은 VeilShell이라는 새로운 백도어 및 RAT를 배치하는 것으로 관찰되었습니다. 이들은 캄보디아 및 잠재적으로 다른 동남아시아 국가들을 표적으로 삼은 캠페인을 수행 중입니다. 최소한 2012년부터 사이버 위협 분야에서 활동해온 APT37 해킹 그룹은 북한의 국가안전보위부와의 연관성이 있는 것으로 알려져 있습니다. 다른 북한 정부 후원 해킹 그룹들인 , RedEyes, Ricochet Chollima, 혹은 Ruby Sleet라는 별명으로 알려진 이들은 VeilShell이라는 새로운 백도어 및 RAT를 배치하는 것으로 관찰되었습니다. 이들은 캄보디아 및 잠재적으로 다른 동남아시아 국가들을 표적으로 삼은 캠페인을 수행 중입니다. 최소한 2012년부터 사이버 위협 분야에서 활동해온 APT37 해킹 그룹은 북한의 국가안전보위부와의 연관성이 있는 것으로 알려져 있습니다. 다른 북한 정부 후원 해킹 그룹들인 , RedEyes, Ricochet Chollima, or Ruby Sleet, have been observed deploying a novel backdoor and RAT dubbed VeilShell in a campaign targeting Cambodia and potentially other Southeast Asian countries. The APT37 hacking collective, which has been active in the cyber threat arena since at least 2012, is believed to have connections with North Korea’s Ministry of State Security. Similar to other North Korean nation-backed hacking groups, such as the 라자루스 그룹 and 킴수키와 유사하게, APT37은 국가 이익에 부합하는 지속적으로 진화하는 목표를 가지고 있습니다.
현재 진행 중인 캠페인, Securonix 연구원들이 식별하고 SHROUDED#SLEEP으로 명명한 캠페인은 악성 LNK 파일이 포함된 ZIP 파일이 첨부된 이메일을 활용한 피싱 공격 벡터를 통해 희생자를 타겟으로 합니다. LNK 파일이 실행되면 드로퍼로 기능하면서 PowerShell 코드 실행을 시작하여 내장된 다음 단계 구성 요소를 디코딩하고 추출합니다. 특히, APT37은 PDF 및 Excel 아이콘으로 바로가기 파일을 변장시키고, 이중 확장을 사용하여 사용자에게는 PDF 및 XLS 부분만이 보이도록 합니다. LNK 파일에서 실행되는 PowerShell 명령은 바로가기에 숨겨져 있는 페이로드를 검색하고 디코딩하려고 합니다. 그것은 악성 파일을 시작 폴더에 떨어뜨려 지속성을 보장하며, 다음 로그인 시 실행되도록 합니다. 또한, 페이로드는 피해자를 속여 합법적인 문서를 보는 동안 배경에서 악성 활동이 일어나고 있는 것으로 믿도록 Excel 파일을 엽니다. 이러한 유형의 공격은 탐지를 피하기 위해 사회 공학적 기법과 파일리스 기법을 활용합니다.
복잡한 감염 체인의 최종 단계에서 공격자들은 광범위한 RAT 기능을 가진 PowerShell 기반의 악성 소프트웨어 VeilShell을 배포합니다. 이 새로운 백도어는 스텔스 기능과 데이터 수출, 레지스트리 편집, 예약된 작업 조작 등 넓은 범위를 가지며, 공격자에게 손상된 시스템에 대한 전면적인 제어권을 부여하는 것으로 유명합니다.
SHROUDED#SLEEP 캠페인은 .NET 응용 프로그램으로 악성 코드를 삽입하여 지속성을 보장하는 AppDomainManager 하이재킹이라는 드문 적대적 기법도 사용합니다. 이 방법은 .NET AppDomainManager 클래스를 활용하여 공격자가 응용 프로그램 실행 초기에 그들의 악성 DLL을 로드할 수 있게 합니다.
SHROUDED#SLEEP 작전은 다중 실행 계층, 지속성 방법, 그리고 손상된 시스템을 지속적으로 제어하기 위한 다용도의 PowerShell 기반 백도어 RAT를 사용하는 정교하고 스텔스한 캠페인입니다. 방어를 임시로 피하고 목표에 대한 접근을 유지하기 위해 합법적인 도구와 기술의 독특한 믹스를 사용하려는 적대자의 능력이 향상됨에 따라, 이 캠페인과 유사한 공격들은 사이버 방어자에게 최고의 응급 대응을 요구합니다. SOC Prime의 완전한 제품 스위트 를 활용하여 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥, 그리고 고급 위협 탐지를 통해, 진보적인 조직들은 공격자보다 빠르게 행동할 수 있으며 대규모로 방어를 강화할 수 있습니다.
