최근 국내 제조·건설·교육 기관 타깃 안다리엘 해킹그룹 APT 공격 확인돼
https://www.dailysecu.com/news/articleView.html?idxno=156058
최근 국내 제조·건설·교육 기관 타깃 안다리엘 해킹그룹 APT 공격 확인돼 - 데일리시큐
최근 국내 기업 및 기관을 대상으로 한 북한 안다리엘(Andariel) 해킹그룹의 APT(지능형 지속 위협) 공격 사례가 확인됐다.이번 공격의 대상은 국내 제조업, 건설 업체 및 교육 기관으로, 공격자는
www.dailysecu.com
데일리시큐 2024.05.18 길민권 기자
- 최근 국내기업 및 기관을 대상으로 한 APT 공격 사례 확인(지능형 지속 위협)
- 국내 제조업, 건설 업체 및 교육기관을 대상으로 북한 해킹그룹 안다리엘은 백도어, 키로거, 인포스틸러, 프록시 도구 등을 사용해 감염 시스템 제어 및 데이터 탈취를 한 것으로 추정
- 안랩 시큐리티 인텔리전스 센터(ASEC)에 따르면 공격자는 백도어 악성코드인 네스트도어(Nestdoor)와 함께 웹쉘을 사용하였고, 과거 라자루스 그룹의 공격에서 사용된 프록시 도구도 함께 사용한 것으로 조사
- 네스트도어는 공격자의 명령을 받아 감염 시스템을 제어할 수 있고, 파일 업/다운로드, 리버스 쉘, 명령 실행 등 기능을 수행할 수 있으며, 키로깅, 클립보드 로깅, 프록시 기능을 제공
- 안다리엘 그룹은 새로운 백도어 악성코드 Dora RAT 사용
- Dora RAT은 Go 언어로 개발되었고 리버스 쉘, 파일 업/다운로드 기능을 지원하는 단순형태이며, 단독실행파일 형태와 탐색기 프로세스에 인젝션되어 동작하는 형태 두 가지로 확인
- 이번 공격의 주요정황 중 하나는 아파치 톰캣 서버를 운영중인 웹 서버를 공격해 악성코드 유포
대응방안
- 사용자들은 출처가 불분명한 메일의 첨부 파일이나 웹 페이지에서 다운로드한 실행 파일을 주의해야함
- 기업 보안 담당자는 소프트웨어의 최신버전으로 패치를 수행해야함
- OS 및 인터넷 브라우저 등의 최신 패치 및 V3 업데이트를 통해 악성코드 감염을 사전에 차단하는 것이 중요함