2024년 9월 17일, 구글의 맨디언트 측에서 UNC2970 그룹의 백도어 악성코드에 대한 Threat Intelligence 보고서를 공개했다.
An Offer You Can Refuse: UNC2970 Backdoor Deployment Using Trojanized PDF Reader | Google Cloud Blog
UNC2970 is a cyber espionage group suspected to have a North Korea nexus.
cloud.google.com
UNC2970 그룹은 북한 배후의 APT 공격 그룹으로 분류된다. 잘 알려져있는 Lazarus나 Kimsuky와는 또 다른 그룹으로 알려져있다.
https://cloud.google.com/blog/topics/threat-intelligence/lightshow-north-korea-unc2970/?hl=en
Stealing the LIGHTSHOW (Part One) — North Korea's UNC2970 | Mandiant | Google Cloud Blog
Special thanks to John Wolfram, Rich Reece, Colby Lahaie, Dan Kelly, Joe Pisano, Jeffery Johnson, Fred Plan, Omar ElAhdan, Renato Fontana, Daniel Kennedy, and all the members of Mandiant Intelligence and Consulting that supported these investigations. We w
cloud.google.com
이 분석 보고서에서 공개된 IoC를 개인적으로 운영중인 MISP 플랫폼에 이벤트로 생성해봤는데, 2024년 01월 11일에 공개된 Lazarus 그룹의 특정 파일과의 연관성이 나타났다.
해당 파일은 아래 그림과 같이 PdfPreview.dll 이라는 이름을 가진 dll 파일이다. 또한, 2024년 09월 24일 기준 모든 백신이 정상 파일로 탐지하고 있다.
맨디언트에서 공개한 이번 UNC2970의 공격은 SumatraPDF 라는 프로그램을 사용했다. 이 중 PdfPreview.dll 파일은 SumatraPDF 프로그램을 구동하기 위해 필요한 정상적인 dll 파일이다. SumatraPDF 프로그램은 Lazarus 그룹도 공격에 사용했던 바 있다.
https://securelist.com/the-lazarus-group-deathnote-campaign/109490/
두 그룹이 동일하게 북한을 배후로 하고 있다는 점으로 미루어보면, 두 그룹 간 연관성이 존재하는 것으로 보인다. 또한, 공격에 같은 파일, 형태를 사용한 것으로 보아 UNC2970은 Lazarus 그룹의 하위 그룹이거나 북한 내에서도 깊은 연관이 있는 그룹으로 보여진다.
'Analysis' 카테고리의 다른 글
| 88. Lazarus's BeaverTail 2 (Python) (0) | 2024.10.14 |
|---|---|
| 87. Lazarus's Beavertail (MacOS) (2) | 2024.09.28 |
| 85. Kimsuky's Twitch - Payment Plan.msc (1) | 2024.09.12 |
| 84. Head Mare correlation (0) | 2024.09.09 |
| 83. Kimsuky's rhfueo)@@) lnk malware (1) | 2024.09.06 |
