다중 라이센스 할인 견적
컴퓨터 보안 북한 해커, 동남아시아 전역의 은밀한 공격에 새로운 VeilShell 백도어 배치

북한 해커, 동남아시아 전역의 은밀한 공격에 새로운 VeilShell 백도어 배치

컴퓨터 보안년에 Mura 년까지
번역 :
한국어

소름 돋는 새로운 폭로에서 북한 사이버 스파이 그룹이 VeilShell이라는 새로운 백도어 맬웨어를 사용하여 동남아시아 전역에서 은밀한 사이버 공격을 실행하는 것이 발견되었습니다. 보안 전문가들은 이 활동을 InkySquid, Reaper, RedEyes, ScarCruft와 같은 여러 별칭으로 운영되는 악명 높은 해킹 그룹인 APT37 과 연관시켰습니다. 북한 국가안보부와 연계된 APT37은 2012년부터 활동해 왔으며 정부 및 기업 부문을 표적으로 삼는 정교한 사이버 캠페인으로 악명이 높습니다.

SHROUDED#SLEEP 캠페인

보안 연구원들은 이 최신 작전을 SHROUDED#SLEEP이라고 명명했습니다. 이는 사이버 범죄자들이 보여준 은밀함과 인내심에 적합한 이름입니다. 이 그룹은 캄보디아와 동남아시아의 다른 국가에 특히 초점을 맞춰 이 캠페인을 수행하고 있는 것으로 여겨집니다. 공격자는 원격 액세스 트로이 목마(RAT)인 VeilShell을 활용하여 손상된 머신을 완전히 제어하고 데이터를 빼내고 시스템 레지스트리를 조작하고 비밀리에 작업을 예약하는 기능을 얻으려고 합니다.

VeilShell은 어떻게 작동하나요?

이 공격의 두드러진 측면 중 하나는 VeilShell이 대상 시스템에 침투하는 방식입니다. 초기 페이로드가 어떻게 전달되는지는 아직 불분명하지만, 전문가들은 이 그룹이 스피어 피싱 이메일을 사용한다고 의심합니다. 스피어 피싱 이메일은 개인을 속여 악성 링크를 클릭하거나 감염된 파일을 다운로드하도록 하는 매우 타겟팅된 방법입니다. 1단계 페이로드는 Windows 바로가기(LNK) 파일이 포함된 ZIP 아카이브를 통해 전달될 가능성이 높습니다.

의심하지 않는 사용자가 LNK 파일을 실행하면 일련의 동작이 트리거됩니다. Windows 환경에서 일반적으로 사용되는 스크립팅 언어인 PowerShell 코드가 백그라운드에서 실행되어 파일 내에 숨겨진 추가 구성 요소를 추출합니다. 의심을 피하기 위해 공격은 Microsoft Excel 또는 PDF 파일과 같은 무해해 보이는 문서로 사용자의 주의를 돌리는 한편, 백그라운드에서 더 위험한 맬웨어 구성 요소를 설치합니다.

진짜 위협은 DomainManager.dll에서 비롯되는데, 이 악성 파일은 Windows 시작 폴더에 전략적으로 배치되어 시스템이 재부팅될 때마다 실행되어 지속성을 보장합니다. 이 파일은 원격 명령 및 제어(C2) 서버와 통신하여 공격자에게 감염된 장치를 제어할 수 있는 권한을 부여합니다. 그곳에서 그들은 파일을 감시하고, 민감한 데이터를 업로드하고, 더 많은 악성 도구를 다운로드하고, 심지어 파일을 삭제하거나 이름을 변경하여 흔적을 감출 수도 있습니다.

AppDomainManager 주입: 교활한 기술

이 공격을 다른 사이버 공격과 차별화하는 것은 AppDomainManager 주입이라는 기술을 교묘하게 사용한다는 것입니다. 복잡하게 들릴 수 있지만, 이 방법은 본질적으로 공격자가 합법적인 프로그램이 시작될 때마다 어떠한 경보도 울리지 않고 악성 코드를 실행할 수 있도록 합니다. 이 전술은 최근 중국과 연계된 또 다른 해커 그룹에서 사용되었는데, 이는 이 기술이 전 세계 사이버 범죄자들 사이에서 인기를 얻고 있음을 나타냅니다.

장기 게임: APT37이 탐지를 회피하는 방법

이 캠페인이 오랫동안 감지되지 않은 한 가지 이유는 공격자의 인내심 때문입니다. VeilShell을 성공적으로 배포한 후, 그들은 바로 활성화하지 않습니다. 대신, 맬웨어는 시스템이 재부팅될 때까지 휴면 상태에 있습니다. 이러한 지연된 활성화와 긴 휴면 시간(실행 중 일시 중지)이 결합되어 맬웨어가 기존 보안 도구로 감지되기 어렵게 만듭니다. 이러한 기술은 해커가 오랫동안 감지되지 않도록 돕고, 정보를 수집하고 손상된 시스템을 제어할 수 있게 합니다.

의미와 미래 위협

이 최근의 발견은 북한의 사이버 역량에 대한 우려가 커지고 있음을 더해줍니다. APT37, Lazarus , Kimsuky와 같은 그룹은 모두 간첩, 재정적 이득, 방해 행위를 목표로 하는 국가 지원 사이버 공격 과 관련이 있습니다. VeilShell과 같은 정교한 도구의 사용이 증가함에 따라 이러한 그룹은 글로벌 사이버 보안 환경에 상당한 위협을 가하고 있습니다.

전문가들은 북한 해킹 그룹이 미국과 유럽을 포함한 여러 지역을 표적으로 삼은 전력이 있기 때문에 이 캠페인이 동남아시아를 넘어 쉽게 확산될 수 있다고 경고합니다. 사실, VeilShell이 발견되기 불과 며칠 전에 Andariel이라는 또 다른 북한 그룹이 재정적 동기를 가진 캠페인으로 미국 조직을 공격했습니다.

VeilShell 및 유사한 위협으로부터 보호

조직과 개인의 경우, 이는 스피어 피싱 시도에 대해 경계하고 모든 시스템이 최신 보안 패치로 정기적으로 업데이트되도록 하는 것의 중요성을 강조합니다. 이러한 공격의 위험을 줄이기 위한 몇 가지 팁은 다음과 같습니다.

  1. 예상치 못한 이메일에 주의하세요. 예상치 못한 파일 첨부 파일이나 링크가 포함된 이메일을 받았다면 클릭하기 전에 두 번 생각해 보세요.
  2. 소프트웨어를 최신 상태로 유지하세요. 운영 체제와 애플리케이션을 정기적으로 패치하면 공격자가 악용하는 보안 격차를 해소하는 데 도움이 됩니다.
  • 바이러스 백신 소프트웨어를 사용하십시오. 완벽하지는 않지만 좋은 바이러스 백신 프로그램은 많은 흔한 위협을 감지하고 차단할 수 있습니다.
  • 2단계 인증(2FA) 사용: 보안 계층을 추가하면 공격자가 비밀번호를 훔치더라도 액세스하기 어려워집니다.

    • 결론적으로 VeilShell 맬웨어와 SHROUDED#SLEEP 캠페인은 사이버 보안 세계에서 끊임없이 진화하는 위협을 뚜렷하게 상기시켜줍니다. 신중함을 유지하고 사전 예방적 보안 조치를 취함으로써 개인과 기업은 이러한 위험한 행위자보다 한 발 앞서 나갈 수 있습니다.

    로드 중...