90. Andariel's play ransomware

지난 2024년 10월 31일, 북한의 APT 그룹 중 하나인 Andariel이 Play ransomware를 사용했다는 기사가 공개되었다.

https://www.darkreading.com/endpoint-security/north-korea-andariel-play-ransomware

 

해당 기사 내용에 따르면, Andariel이 Play ransomware와 협력하고 있는 것으로 보인다. 초기 브로커(IAB, Initial Access Broker)든 실제 Play ransomware든 Andariel의 공격에 Play ransomware를 사용한 것은 틀림없다.

 

개인적으로 운용하고 있는 MISP에도 해당 내용이 포착되었다.

상관관계

 

Play ransomware의 몇 샘플들과 7월 30일에 포착된 북한측 악성코드의 해쉬 값이 일치하는 것으로 나타났다. 또한, 공격에 사용된 도메인도 연관되는 것으로 나타났다.

 

이전부터 북한측 공격자들이 오픈소스를 사용하거나 이미 개발된 악성코드를 구매해 사용하는 등의 상황들이 포착되고 있다. 아마도, 북한측 공격자들의 개발 리소스 부족 현상을 대변하는 것은 아닌가 생각이 든다. 혹은 북한측 공격자들도 실제 악성행위를 수행하는 악성코드를 직접 개발하는 것에 집중하는 것보다는 침투에 중점을 두고, 악성코드는 외주화하려는 것은 아닌가 생각이 든다.