북한 해커, 새로운 VeilShell 백도어 배포

북한 해커가 VeilShell이라는 이전에 문서화되지 않은 백도어 및 원격 액세스 트로이 목마를 배포하는 것이 관찰되었습니다. Securonix가 SHROUDED#SLEEP이라고 명명한 이 활동은 북한 국가안전보위부 산하의 InkySquid라는 그룹의 작업으로 추정됩니다. 초기 페이로드는 Windows 바로가기 파일이 포함된 ZIP 아카이브입니다.

스피어 피싱 이메일이 전달에 관여했을 가능성이 의심됩니다. 바로가기 파일은 PowerShell 코드 실행을 트리거하여 미끼 문서, 구성 파일, 악성 DLL 파일을 포함한 다음 단계 구성 요소를 추출합니다. 공격 체인은 시작 시 합법적인 실행 파일이 실행될 때 AppDomainManager 주입이라는 기술을 사용하여 DLL 파일을 실행합니다.

DLL 파일은 원격 서버에서 JavaScript 코드를 검색한 다음 다른 서버에 연결하여 VeilShell 백도어를 얻습니다. VeilShell은 명령 및 제어 서버와 통신하도록 설계된 PowerShell 기반 악성 코드입니다. 파일 정보를 수집하고, 폴더를 압축하고, 파일을 다운로드하고, 파일 이름을 바꾸거나 삭제할 수 있습니다.

위협 행위자는 인내심을 갖고 체계적으로 긴 수면 시간을 사용하여 전통적인 경험적 탐지를 피합니다. 연구원들은 “SHROUDED#SLEEP 캠페인은 여러 계층의 실행, 지속성 메커니즘, 다용도 PowerShell 기반 백도어 RAT를 활용하여 동남아시아를 대상으로 하는 정교하고 은밀한 작전을 나타냅니다.”라고 연구원들은 지적했습니다. InkSquid, RedEyes, BadRAT, Reaper, ScarCruft 및 Ricochet Chollima로도 알려진 APT37은 주요 언어인 크메르어로 작성된 캄보디아 문제와 관련된 악성 이메일을 통해 캄보디아를 표적으로 삼아 왔습니다.

북한 해커, 새로운 백도어 배포

이메일에는 VeilShell 백도어를 숨기는 악의적으로 제작된 바로가기 파일이 포함되어 있습니다. Securonix의 수석 위협 연구원인 Tim Peck은 다음과 같이 설명합니다. “이런 일은 매우 흔한 일입니다. 위협 행위자의 다트판에 다트를 던지면 바로가기 파일이 맞을 가능성이 높습니다.

쉽고 효과적이며 피싱 이메일과 정말 잘 어울립니다.”

APT37은 긴 절전 타이머를 사용하여 공격 체인의 여러 단계를 분산시킵니다. “위협 행위자들은 놀라울 정도로 인내심이 강하고 느리며 체계적이었습니다. 그들은 다양한 공격 단계 사이에 최대 6,000초의 긴 수면 타이머를 사용했습니다.”라고 Peck은 말합니다.

관련 캠페인에서 북한 해커들은 MISTPEN이라는 새로운 악성코드를 사용해 에너지 및 항공우주 산업 종사자들을 표적으로 삼았습니다. Mandiant에 의해 UNC2970으로 추적되는 이 그룹은 Lazarus Group 및 북한의 주요 정보 기관인 정찰 총국과 연결되어 있습니다. UNC2970은 유명 기업의 채용 담당자로 가장하여 피해자를 표적으로 삼습니다.

작업 설명으로 위장한 악성 ZIP 아카이브를 보내 BURNBOOK이라는 악성 DLL 파일의 실행을 유발합니다. MISTPEN은 명령 및 제어 서버에서 파일을 다운로드하고 실행할 수 있는 Notepad++ 플러그인의 트로이 목마 버전입니다. 전문가들은 고용주와 직원에게 채용 공고 및 오픈 소스 도구, 특히 Python 개발과 관련된 도구에 주의할 것을 권고합니다.

이러한 위협이 계속 진화함에 따라 조직은 경계심을 유지하고 강력한 사이버 보안 프로토콜을 시행하여 자산과 정보를 보호해야 합니다.