Áñ°Üã±â+ ÃÖÁ¾ÆíÁý:2024-03-13 ¿ÀÈÄ 06:20:27 ȸ¿ø°¡ÀÔ±â»ç¾²±âÀüü±â»çº¸±â
´º½º > IT/°úÇÐ

ÆÄÀ̾î¾ÆÀÌ, °³ÀÎ Á¤º¸¸¦ ³ë¸®´Â À̶õÀÇ »çÀ̹ö øº¸ Á¶Á÷ APT39 ÀÚ·á °ø°³


»çȸº¹Áöµ¿Çà ±âÀÚ / dhc3255@naver.comÀÔ·Â : 2019³â 02¿ù 02ÀÏ
ÀÎÅÚ¸®Àü½º ±â¹Ý º¸¾È ¾÷üÀÎ ÆÄÀ̾î¾ÆÀÌ(FireEye) (NASDAQ: FEYE)´Â 2018³â 12¿ù APT39°¡ ±¤¹üÀ§ÇÑ °³ÀÎÁ¤º¸ À¯ÃâÀÇ ÁÖ¹üÀÎ À̶õ°è »çÀ̹ö øº¸ Á¶Á÷ÀÓÀ» È®ÀÎÇßÀ¸¸ç APT39ÀÇ È°µ¿À¸·ÎºÎÅÍ Á¶Á÷µéÀ» º¸È£Çϱâ À§ÇØ 2014³â 11¿ùºÎÅÍ Áö±Ý±îÁö ÀÌ Á¶Á÷°ú °ü·ÃµÈ È°µ¿À» ÃßÀûÇÏ°í ÀÖ´Ù.

APT39´Â ±¤¹üÀ§ÇÑ °³ÀÎÁ¤º¸ µµ³­¿¡ ÁßÁ¡À» µÎ°í ÀÖ¾î, ¿µÇâ °øÀÛ(influence operations), ¿ÍÇؼº °ø°Ý(disruptive attack) ¹× ±âŸ À§Çù°ú ¿¬°üµÇ¾î ÆÄÀ̾î¾ÆÀÌ°¡ ÃßÀûÇØ¿Â ¿©Å¸ À̶õ°è Á¶Á÷µé°ú ±¸º°µÈ´Ù. APT39´Â À̶õÀÇ ±¹°¡Àû ¿ì¼±¼øÀ§¿Í °ü·ÃµÈ ¸ð´ÏÅ͸µ, ÃßÀû, ¶Ç´Â °¨½Ã ÀÛÀü¿¡ µµ¿òÀ» Áְųª ¹Ì·¡ÀÇ °ø°ÝÈ°µ¿À» ¿ëÀÌÇÏ°Ô Çϱâ À§ÇÑ Ãß°¡ÀûÀÎ ¾×¼¼½º ¹× ¿ä¼Ò(vector)ÀÇ °³¹ß °¡´É¼ºÀ» µµ¸ðÇϱâ À§ÇØ °³ÀÎÁ¤º¸¿¡ ÃÊÁ¡À» µÎ´Â °ÍÀ¸·Î º¸ÀδÙ.

¡®APT39¡¯¶õ À§¿¡¼­ ¾ð±ÞµÈ ƯÁ¤ °ø°ÝÁÖü°¡ »ç¿ëÇÑ ¿©·¯ È°µ¿°ú ¹æ¹ýµéÀ» ÃÑ°ýÇϱâ À§ÇØ ¸¸µç À̸§À¸·Î, ÀÌ Á¶Á÷ÀÇ È°µ¿Àº ´ëÁß¿¡°Ô ¡®»þÆÛ(Chafer)¡¯¶ó°í ¾Ë·ÁÁø ´ÜüÀÇ È°µ¿°ú ´ëü·Î ¿¬°üÀÌ ÀÖ´Ù. ±×·¯³ª °¢ ´Üü È°µ¿¿¡ ´ëÇÑ ÃßÀû ÇöȲÀÇ ÆíÂ÷ ¶§¹®¿¡ °ø°³ÀûÀ¸·Î ¾Ë·ÁÁø ³»¿ë¿¡¼­ Â÷ÀÌÁ¡ÀÌ ³ªÅ¸³­´Ù. APT39´Â ÁÖ·Î ½ÃÀ§µå(SEAWEED) ¹× ij½Ã¸Ó´Ï(CACHEMONEY) ¹éµµ¾î¿Í ¡®POWBAT¡¯ ¹éµµ¾îÀÇ Æ¯Á¤ º¯Á¾À» È°¿ëÇÑ´Ù. APT39ÀÇ Å¸°Ù ¹üÀ§´Â Àü ¼¼°èÀ̳ª È°µ¿Àº Áßµ¿¿¡ ÁýÁߵǾî ÀÖ´Ù. APT39´Â Åë½ÅºÐ¾ß¿¡ ¿ì¼±¼øÀ§¸¦ µÎ¸ç À̸¦ Áö¿øÇÏ´Â IT ±â¾÷, ÷´Ü±â¼ú ¾÷°è¿Í ¿©Çà¾÷°èµµ Ç¥ÀûÀ¸·Î ÇÏ°í ÀÖ´Ù.

°ø°Ý Àǵµ

APT39°¡ Åë½Å ¹× ¿©Çà¾÷°è¿¡ ÁßÁ¡À» µÎ°í ÀÖ´Ù´Â »ç½ÇÀ» Åä´ë·Î ÀÌ Á¶Á÷ÀÌ Æ¯Á¤ °³Àε鿡 ´ëÇÑ ¸ð´ÏÅ͸µ, ÃßÀû, °¨½Ã°¡ ¸ñÀûÀ̶ó°í ÃßÁ¤ÇÒ ¼ö ÀÖ´Ù. À̵éÀº ¶ÇÇÑ ±¹°¡ ¿ì¼± ¼øÀ§ °ü·Ã Àü·« ¿ä°Ç¿¡ »ç¿ëµÉ ¸¸ÇÑ »ó¾÷, ¶Ç´Â ÀÛÀü »óÀÇ ¸ñÀûÀ» À§ÇÑ µ¶Á¡ÀûÀÎ µ¥ÀÌÅÍ ¶Ç´Â °í°´ °³ÀÎÁ¤º¸¸¦ ¼öÁýÇÏ°í, ¶Ç´Â ¹Ì·¡ÀÇ °ø°ÝÀ» À§ÇÑ Ãß°¡ÀûÀÎ ¾×¼¼½º ¹× ¿ä¼Ò¸¦ °³¹ßÇÏ·Á´Â Àǵµ¸¦ °®°í ÀÖÀ½À» ½Ã»çÇÑ´Ù. ¶ÇÇÑ Á¤ºÎ ±â°üÀ» ´ë»óÀ¸·Î »ï°í ÀÖ´Ù´Â Á¡Àº ¹ÎÁ·±¹°¡(nation-state)ÀÇ ÀÇ»ç°áÁ¤À» À§ÇÑ ÁöÁ¤ÇÐÀûÀÎ µ¥ÀÌÅÍ ¼öÁýÀ» ÀÌÂ÷ÀûÀÎ ¸ñÇ¥·Î »ïÀ» °¡´É¼ºÀ» ¾Ï½ÃÇÑ´Ù. À̵éÀÌ ¸ñÇ¥·Î ÇÏ´Â µ¥ÀÌÅÍ´Â APT39ÀÇ ÇÙ½É ÀÓ¹«°¡ °ü½É ´ë»óÀÇ ÃßÀû ¶Ç´Â °¨½Ã, ¿©Çà ÀÏÁ¤ µîÀÇ °³ÀÎÁ¤º¸ ¼öÁý, Åë½Å¾÷ü·ÎºÎÅÍÀÇ °í°´ µ¥ÀÌÅÍ ¼öÁýÀ̶ó´Â È®½ÅÀ» µÞ¹ÞħÇÏ°í ÀÖ´Ù.

À̶õ ¿¬°ü¼ºÀ» ³ªÅ¸³»´Â ÁöÇ¥

ÆÄÀ̾î¾ÆÀÌ´Â APT39ÀÇ °øÀÛµéÀÌ À̶õÀÇ ±¹ÀÍÀ» Áö¿øÇϱâ À§ÇØ ¼öÇàµÇ°í ÀÖ´Ù°í ¾î´À Á¤µµ È®½ÅÇÏ°í ÀÖÀ¸¸ç, ÀÌ´Â Áßµ¿¿¡ ÁýÁßµÈ Áö¿ªÆíÁß, ±×¸®°í °ø°³ÀûÀ¸·Î ¡®¿ÀÀϸ®±×(OilRig)¡¯¶ó°í º¸µµµÈ ¼¼·Â°ú ´ë·«ÀûÀ¸·Î °øÁ¶¸¦ ÀÌ·ç´Â APT34°ú À¯»çÇÑ ÀÎÇÁ¶ó, È°µ¿ ½Ã±â, ±âŸ À¯»çÁ¡µéÀ» ±Ù°Å·Î ÇÑ´Ù. APT39¿Í APT34´Â ¾Ç¼ºÄÚµå ¹èÆ÷ ¹æ½Ä, POWBAT ¹éµµ¾î È°¿ë, ÀÎÇÁ¶ó ¸í¸í¹ý, Ÿ°Ù Áߺ¹ µî ÀϺΠÀ¯»çÁ¡À» º¸ÀÌÁö¸¸ ÆÄÀ̾î¾ÆÀÌ´Â APT39ÀÌ APT34¿Í ´Ù¸¥ POWBAT º¯Á¾À» ÀÌ¿ëÇÑ´Ù´Â Á¡¿¡¼­ µÑÀ» º°°³ÀÇ Á¶Á÷À¸·Î ÆľÇÇÏ°í ÀÖ´Ù. ÀÌ µÎ Á¶Á÷ÀÌ Çù·Â°ü°è¿¡ Àְųª ¾î´À ´Ü°è¿¡¼­ ÀÚ¿øÀ» °øÀ¯ÇÒ °¡´É¼ºÀº ÀÖ´Ù.

°ø°Ý ¼ö¸íÁÖ±â(Attack Lifecycle)

APT39´Â °ø°Ý ¼ö¸íÁÖ±âÀÇ ¸ðµç ´Ü°è¿¡¼­ ´Ù¾çÇÑ ¸ÂÃãÇü ¹× °ø°³ÀûÀ¸·Î ±¸ÀÔ °¡´ÉÇÑ ¾Ç¼ºÄÚµå¿Í ÅøÀ» È°¿ëÇÑ´Ù.

-Ãʱâ ħÇØ(Initial Compromise): Ãʱâ ħÇØ¿Í °ü·ÃÇÏ¿© ÆÄÀ̾î¾ÆÀÌ´Â ¾Ç¼ºÄÚµå ¶Ç´Â POWBAT °¨¿°À» ÀÏÀ¸Å°´Â ÇÏÀÌÆÛ¸µÅ© µîÀÌ Ã·ºÎµÈ ½ºÇǾî ÇÇ½Ì (spear phishing) À̸ÞÀÏÀ» ÅëÇÑ APT39ÀÇ °ø°ÝÀ» ¸ñ°ÝÇß´Ù. APT39´Â ÇÕ¹ýÀûÀÎ À¥ ¼­ºñ½º·Î °¡ÀåÇÑ µµ¸ÞÀεé°ú ÀǵµµÈ Ÿ°Ù¿¡ °ü·ÃµÈ ´ÜüµéÀ» ÀÚÁÖ ÀÌ¿ëÇÑ´Ù. ¶ÇÇÑ ÀÌ Á¶Á÷Àº ÈçÈ÷ Ÿ°Ù ±â°üµéÀÇ Ãë¾àÇÑ À¥ ¼­¹ö¸¦ ã¾Æ³» ANTAK°ú ASPXSPY °°Àº À¥¼Ð(web shell)À» ¼³Ä¡ÇÏ°í ÈÉÄ£ ÇÕ¹ý °èÁ¤(legitimate credentials)À» ÀÌ¿ëÇÏ¿© ¿ÜºÎ »ç¿ëÀÚµµ È°¿ë °¡´ÉÇÑ ¾Æ¿ô·è À¥ ¾×¼¼½º(Outlook Web Access: OWA) ¸®¼Ò½º¸¦ ÇØÅ·ÇÏ°í ÀÖ´Ù.

-°ÅÁ¡ ±¸Ãà, ±ÇÇÑ »ó½Â, ³»ºÎ Á¤Âû: Ãʱâ ħÇØ ÀÌÈÄ, APT39Àº ½ÃÀ§µå, ij½Ã¸Ó´Ï ¶Ç´Â Ưº°ÇÑ POWBAT º¯Á¾ µîÀÇ ¸ÂÃãÇü ¹éµµ¾î¸¦ È°¿ëÇØ Å¸°Ù ȯ°æ¿¡ °ÅÁ¡À» ±¸ÃàÇÑ´Ù. ¡®±ÇÇÑ »ó½Â(privilege escalation)¡¯ ´Ü°è¿¡¼­´Â À©µµ¿ì Å©¸®µ§¼È ¿¡µðÅÍ(Windows Credential Editor)³ª ProcDump °°Àº ÇÕ¹ýÀûÀÎ Åø ÀÌ¿Ü¿¡µµ ¹Ì¹ÌÄ«Ã÷(Mimikatz)¿Í Ncrack µî ¹«·á·Î °ø°³µÇ¾î ÀÖ´Â ÅøµéÀÌ È°¿ëµÇ°í ÀÖ´Ù. ¡®³»ºÎ Á¤Âû(internal reconnaissance)¡¯¿¡´Â ¸ÂÃãÇü ½ºÅ©¸³Æ®¿Í Æ÷Æ® ½ºÄ³³Ê(port scanner)ÀÎ ºí·çÅäÄ¡(BLUETORCH)¸¦ ºñ·ÔÇÑ °ø°³Çü, ¸ÂÃãÇü ÅøµéÀÌ ÀÌ¿ëµÈ´Ù.

-Ãø¸éÀ̵¿, »óÅ À¯Áö ¹× ÀÓ¹« ¿Ï¼ö: APT39´Â ¿ø°Ý µ¥½ºÅ©Åé ÇÁ·ÎÅäÄÝ(Remote Desktop Protocol: RDP), ½ÃÅ¥¾î ¼Ð(Secure Shell: SSH), PsExec, RemCom, xCmdSvc µî ¼ö¸¹Àº ÅøÀ» ÅëÇØ Ãø¸éÀ̵¿(lateral movement)À» ÃËÁø½ÃŲ´Ù. ·¹µåÆ®¸³(REDTRIP), ÇÎÅ©Æ®¸³ (PINKTRIP), ºí·çÆ®¸³(BLUETRIP) °°Àº ¸ÂÃãÇü Åøµéµµ °¨¿°µÈ È£½ºÆ®µé »çÀÌ¿¡¼­ SOCKS5 ÇÁ·Ï½Ã¸¦ »ý¼º½ÃÅ°±â À§ÇØ ÀÌ¿ëµÈ´Ù. APT39´Â RDP¸¦ Ãø¸éÀ̵¿ »Ó¸¸ ¾Æ´Ï¶ó Ÿ°Ù ȯ°æ¿¡¼­ È°µ¿ À¯Áö¸¦ À§ÇÑ ÇÁ·ÎÅäÄݷεµ È°¿ëÇÑ´Ù. ÀÓ¹« ¿Ï¼ö¸¦ À§ÇØ APT39´Â º¸Åë ÈÉÄ£ µ¥ÀÌÅ͸¦ WinRAR ¶Ç´Â 7-Zip µîÀÇ ¾ÐÃà Åø·Î ¾ÐÃà ¹× º¸°üÇÑ´Ù.

APT39°¡ ³×Æ®¿öÅ© º¸¾È¾÷üµéÀÇ Å½Áö¸¦ ¿ì¿ÜÇϱâ À§ÇØ ¿î¿µ º¸¾È(operational security)À» ÀÌ¿ëÇÏ°í Àִٴ ¡ÈÄ°¡ ÀϺΠ³ªÅ¸³ª°í ÀÖ´Ù. ¿¹¸¦ µé¸é ¹ÙÀÌ·¯½º ŽÁö ±â´ÉÀ» ¸·±âÀ§ÇØ ¾÷µ¥ÀÌÆ®µÈ ¹Ì¹ÌÄ«Ã÷ÀÇ ¼öÁ¤ ¹öÀüÀ» ÀÌ¿ëÇÑ »ç·Ê, Ãʱ⠾׼¼½º ÈÄ Å½Áö¸¦ ÇÇÇϱâ À§ÇØ APT39°¡ ħÇØµÈ Å¸°ÙÀÇ È¯°æ ¿ÜºÎ¿¡¼­ °èÁ¤ ÃßÃâ(credential harvesting)À» ÇÑ »ç·Ê°¡ ¹ß°ßµÇ¾ú´Ù.

Àü¸Á

ÆÄÀ̾î¾ÆÀÌ´Â APT39ÀÇ Ç¥ÀûÀÌ Åë½Å ¹× ¿©Çà¾÷°è¿¡ ÆíÁßµÈ °ÍÀÌ ¹Ì·¡ÀÇ °ø°ÝÀ» ¿øÈ°È÷ Çϱâ À§ÇÑ °¨½Ã ¸ñÀûÀ¸·Î °ü½É Ÿ°Ù¿¡ ´ëÇÑ °³ÀÎÁ¤º¸¿Í °í°´ µ¥ÀÌÅÍ ¼öÁýÇÏ·Á´Â Àǵµ¸¦ ¹Ý¿µÇÑ´Ù°í º¸°í ÀÖ´Ù. Åë½Å¾÷üµéÀº ´ë·®ÀÇ °³ÀÎ ¹× °í°´ Á¤º¸¸¦ º¸°üÇÏ°í, Åë½Å¿¡ ÀÌ¿ëµÇ´Â ÁÖ¿ä ÀÎÇÁ¶ó Á¢±ÙÀÌ ¿ëÀÌÇϸç, ´Ù¼öÀÇ ¾÷°è¿¡¼­ Æø³ÐÀº ÀáÀçÀûÀΠŸ°Ù¿¡ ´ëÇÑ Á¢±ÙÀÌ °¡´ÉÇϱ⠶§¹®¿¡ ÁÖ¸ñ¹Þ´Â Ÿ°ÙÀÌ µÈ´Ù. APT39ÀÇ Å¸°Ù ¼±Á¤Àº ¾Ë·ÁÁø Ç¥Àû ¾÷°èµé¿¡ ´ëÇÑ À§ÇùÀ» ÀǹÌÇÒ »Ó¸¸ ¾Æ´Ï¶ó, ÇØ´ç Á¶Á÷ÀÇ ¸ðµç °í°´µé·Î±îÁö È®´ëµÇ¸ç ¿©±â¿¡´Â Àü ¼¼°è¿¡ °ÉÄ£ ¼ö¸¹Àº ¾÷°è¿Í °³ÀÎÀÌ Æ÷ÇԵȴÙ. APT39ÀÇ È°µ¿Àº À̶õÀÇ ´ë¿Ü °øÀÛÀÇ ÀáÀçÀûÀÎ ¹üÀ§¸¦ ½Ã»çÇϸç, À̶õÀÌ ±¹°¡¾Èº¸ÀÇ À§ÇùÀ¸·Î ÀνĵǴ ´ë»ó¿¡ ´ëÇÑ ¿øÈ°ÇÑ ÇÙ½É Á¤º¸ ¼öÁý°ú Áö¿ª ¹× ¼¼°è °æÀïÀÚ¿¡ ´ëÇÑ ¿ìÀ§¸¦ ¾ò±â À§ÇÑ Àúºñ¿ëÀÇ È¿°úÀû ¼ö´ÜÀ¸·Î½á »çÀ̹ö °øÀÛÀ» ¾î¶»°Ô È°¿ëÇÏ´ÂÁö º¸¿©ÁØ´Ù.
»çȸº¹Áöµ¿Çà ±âÀÚ / dhc3255@naver.comÀÔ·Â : 2019³â 02¿ù 02ÀÏ
- Copyrights ¨Ïµ¿Çà½Å¹®. ¹«´Ü ÀüÀç ¹× Àç¹èÆ÷ ±ÝÁö -
Æ®À§ÅÍÆäÀ̽ººÏ¹êµåÄ«Ä«¿À½ºÅ丮³×À̹öºí·Î±×
 
Æ÷Åä&µ¿¿µ»ó
°¡Àå ¸¹ÀÌ º» ´º½º
Áö¿ªÇà»ç
Áö¿ªÅ½¹æ
»óÈ£: µ¿Çà½Å¹® / ÁÖ¼Ò: ºÎ»ê ±ÝÁ¤±¸ ±¸¼­¿Âõõ·Î 63 ¾Æ¸§º£½ºÆ®ºô 201È£ / ¹ßÇàÀÎ: Á¤ÀºÈ£ / ÆíÁýÀÎ : ¹èÇѼº / û¼Ò³âº¸È£Ã¥ÀÓÀÚ : Á¤ÀºÈ£
mail: dhc5173@naver.com / Tel: 051-582-3253 / Fax : 051-582-3253 / Á¤±â°£Ç๰ µî·Ï¹øÈ£ : ºÎ»ê, ¾Æ00251 / µî·ÏÀÏ : 2015³â 11¿ù 02ÀÏ
º»Áö´Â ½Å¹® À±¸®°­·É ¹× ±× ½Çõ¿ä°­À» ÁؼöÇÔ