요약 : 보안 외신 해커뉴스에 의하면 북한 국가안전보위부(MSS : Ministry of State Security)의 일원으로 추정되는 해커그룹 ‘APT37’이 캄보디아를 포함한 동남아시아 국가들을 대상으로 사이버 공격을 퍼붓고 있다고 보도했다. 해당 공격은 ‘VeilShell’이라는 백도어 공격으로 정상적인 문서를 여는 방식으로 시스템에 침투해 PowerShell 기반의 다양한 공격을 수행한다. 이러한 악성 행위는 보안업체 시큐로닉스(Securonix)에 의해 ‘SHROUDED#SLEEP’으로도 알려져 있다.
[이미지=gettyimagesbank]
배경 : ‘APT37’은 2012년부터 활동해 온 집단으로 라자루스 그룹(Lazarus Group), 김수키(Kimsuky)와 같이 국가의 이익에 따라 다양한 작전을 펼치는 것으로 알려져 있다. 이들이 사용하는 주요 악성코드는 ‘RokRAT(별칭 Goldbackdoor)’이며, ‘VeilShell’ 백도어는 LNK 파일이 포함된 ZIP 아카이브로, 스피어 피싱 이메일을 통해 배포될 가능성이 크다.
말말말 : “‘VeilShell’ 백도어 트로이 목마는 공격자에게 손상된 기계에 대한 완전한 접근 권한을 허용합니다. 일부 기능에는 데이터 유출, 레지스트리 조작, 예약 작업 생성 등 다양한 기능을 갖추고 있습니다. 이 모든 단계에서 전통적인 휴리스틱(heuristics) 탐지를 피하기 위해 긴 대기 시간을 두고 실행되는 게 특징입니다. 실제로 ‘VeilShell’은 시스템 재부팅 전까지 실행되지 않습니다.” -연구원 덴 이주지크(Den Iuzvyk)와 팀 펙(Tim Peck)
[이소미 기자(boan4@boannews.com)]
[이미지=gettyimagesbank]
배경 : ‘APT37’은 2012년부터 활동해 온 집단으로 라자루스 그룹(Lazarus Group), 김수키(Kimsuky)와 같이 국가의 이익에 따라 다양한 작전을 펼치는 것으로 알려져 있다. 이들이 사용하는 주요 악성코드는 ‘RokRAT(별칭 Goldbackdoor)’이며, ‘VeilShell’ 백도어는 LNK 파일이 포함된 ZIP 아카이브로, 스피어 피싱 이메일을 통해 배포될 가능성이 크다.
말말말 : “‘VeilShell’ 백도어 트로이 목마는 공격자에게 손상된 기계에 대한 완전한 접근 권한을 허용합니다. 일부 기능에는 데이터 유출, 레지스트리 조작, 예약 작업 생성 등 다양한 기능을 갖추고 있습니다. 이 모든 단계에서 전통적인 휴리스틱(heuristics) 탐지를 피하기 위해 긴 대기 시간을 두고 실행되는 게 특징입니다. 실제로 ‘VeilShell’은 시스템 재부팅 전까지 실행되지 않습니다.” -연구원 덴 이주지크(Den Iuzvyk)와 팀 펙(Tim Peck)
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
