북한 해커 APT37의 최신 사이버 공격 캠페인 과 VeilShell 백도어 배포 방식

반갑습니다~!! 오토씨입니다. 사이버 공격이 여기 저기에서 계속되고 있습니다~ 헉헉헉... 최근 발생한 북한 해커들의 새로운 사이버 공격 캠페인에 대해 이야기해 보려고 해요. '사이버 캠페인' 이라는 용어는 특정 목표를 달성하기 위해 체계적이고 지속적으로 수행되는 일련의 해킹 활동을 의미해요. 이 글을 통해 독자 여러분은 VeilShell이라는 새로운 백도어와 이와 관련된 사이버 공격 방식에 대한 핵심 정보를 얻을 수 있어요. 사이버 보안에 관심이 있는 분들이라면 이 내용을 꼭 주목하시기 바랍니다!

 

북한 해커 APT37의 최신 사이버 공격 캠페인 분석 및 VeilShell 백도어 예방 방법

 

북한 해커들의 최신 공격 캠페인: SHROUDED#SLEEP

최근 Securonix에서 발표한 보고서에 따르면, 북한 해커 집단인 APT37(로제, 브루노마스의 APT 와는 상관 없어요~ ^^)가 Cambodia 및 동남아시아 여러 나라를 타겟으로 하는 사이버 공격 캠페인을 수행하고 있다고 합니다. 이 공격은 "SHROUDED#SLEEP"이라는 이름 아래 VeilShell이라는 새로운 백도어를 통해 이루어지고 있습니다. 북한의 정보기관과 관련된 APT37은 다양한 공격 기법을 사용하여 정보를 수집하고 있으며, 이는 국가의 전략적 이해관계가 반영된 것으로 판단하고 있습니다. 외화벌이를 해야 하니까요~

VeilShell의 작동 방식

VeilShell은 아주 정교해진 원격 접근 트로이안(RAT)으로, 공격자는 이 백도어를 사용하여 타겟 시스템에 대한 전면적인 접근 권한을 획득할 수 있습니다. VeilShell의 주요 기능은 다음과 같습니다.

• 데이터 탈취: 기밀 정보를 안전하게 전송합니다.
• 레지스트리 조작: 악성 코드를 심기 위한 파일 및 설정 수정이 가능합니다.
• 계획된 작업 생성: 특정 시간에 악성 동작을 자동으로 수행하도록 설정합니다.

특히 주목할 점은, 이 백도어는 PowerShell을 통해 명령 제어 서버와 연결하여 추가 명령을 받을 수 있습니다. 즉, 공격자는 피해자의 컴퓨터에서 모든 종류의 데이터를 압축하고 전송할 수 있다는 점입니다.

원격 접근 트로이안(RAT, Remote Access Trojan)은 해커가 피해자의 컴퓨터나 네트워크를 원격으로 제어할 수 있도록 하는 악성 소프트웨어를 말해요.

 

 

VeilShell 백도어의 배포 방식

VeilShell의 첫 번째 단계는 ZIP 아카이브 형태로 배포되며, 안에 Windows의 바로가기 파일(LNK)이 포함되어 있습니다. 이 파일은 일반적으로 피싱 이메일을 통해 유포되고, 사용자가 파일을 실행하면 PowerShell 코드를 통해 필요한 악성 구성 요소를 로드합니다. 특히 작은 파일들은 백그라운드에서 사용자에게 보이지 않게 작동하며, 사용자 주의를 돌리기 위해 상관 없는 무해한 문서를 열기도 합니다.

결론

이번 글은 북한 해커들의 새로운 공격 방식 SHROUDED#SLEEP과 VeilShell에 대해 기본적인 이해를 돕기 위해 작성하였습니다. 이러한 정보는 공격을 예방하고 대응하는 데 큰 도움이 될 것입니다.

여러분의 안전을 기원하며 더 유익한 정보를 전달할 수 있도록 노력하겠습니다. 감사합니다!