얼마 전, 북한 측 공격자가 Lilith RAT을 사용한 것이 발견되었다. Lilith RAT는 오픈소스로 공개되어 있는 악성코드이다. 최근, 이 공격 이외에도 북한 측 공격자들이 오픈소스로 공개 된 파워쉘 스크립트를 사용하는 등 오픈소스를 사용하는 정황이 자주 발견된다.
https://github.com/werkamsus/Lilith
GitHub - werkamsus/Lilith: Lilith, C++ Cybersecurity Research Project
Lilith, C++ Cybersecurity Research Project . Contribute to werkamsus/Lilith development by creating an account on GitHub.
github.com
S2W에서 공개한 지표를 개인적으로 운영하고 있는 MISP 시스템에 엮어보았는데, 재밌는 결과가 나왔다.
S2W의 보고서에서 언급된 것 처럼 해당 공격자는 Konni(APT 37) 그룹과 어느정도의 연관성이 있는 것으로 보여진다. 공격 인프라로 사용된 도메인 중 하나가 동일한 것으로 나타났다.
* S2W 보고서: https://s2w.inc/ko/resource/detail/581
또한, DarkGate 악성코드와의 연관성도 확인되었다. DarkGate MaaS(Malware-as-a-Service) 판매되는 악성코드이다. 키로깅, 정보 탈취, 권한 상승 등의 악성 행위를 주로 수행한다. 해당 공격자가 사용한 악성코드 중 darkgate 악성코드가 있는 것으로 확인된다.
정리하자면, Konni(APT37)과 연관이 있는 북한 측 공격자가 등장했다. 해당 공격자는 이미 공개되어 있는 오픈소스 악성코드를 적극 활용하는 것으로 보여지고, 공격에 활용한 악성코드 중에는 DarkGate 악성코드도 존재하는 것으로 보여진다. 즉, 공격에 성공하기 위해 기존 공격 형태 외에도 오픈소스 악성코드를 활용하거나 MaaS 악성코드를 구매해 사용하는 것으로 보여진다.
'Analysis' 카테고리의 다른 글
| 83. Kimsuky's rhfueo)@@) lnk malware (1) | 2024.09.06 |
|---|---|
| 82. misp - maltego 연결 (0) | 2024.09.03 |
| 80. Kimsuky's Skidibi Boilet Master.msc (4) | 2024.08.19 |
| 79. Lazarus's characteristic of using C2 (0) | 2024.08.12 |
| 78. CVE-2017-0199 Correlation (0) | 2024.08.02 |
