2024-03-28 20:55 (목)
美 CERT, 북한 APT 공격그룹 '히든 코브라'의 2개 악성코드에 대해 주의 경보
상태바
美 CERT, 북한 APT 공격그룹 '히든 코브라'의 2개 악성코드에 대해 주의 경보
  • hsk 기자
  • 승인 2018.05.31 16:04
이 기사를 공유합니다

Joanap으로 알려진 원격 접속 도구와 Brambul로 알려진 SMB 웜

aaaa-3.jpg
미 국토안보부와 FBI가 '히든 코브라(Hidden Cobra)'로 불리는 북한 관련 APT 그룹과 연관된 2가지 멀웨어, 'Joanap' 백도어 트로이목마와 'Brambul' 서버 메시지 블록 웜에 대한 공동 기술 경고를 발표했다.

관계자는 “미국 정부 파트너와의 협조 하에 국토 안보부와 FBI는 북한 정부가 사용하는 두가지 악성코드와 관련된 IP 주소와 기타 지표들을 확인했다. 이 두가지 악성코드는 Joanap으로 알려진 원격 접속 도구(RAT)와 Brambul로 알려진 SMB(Server Message Block)웜이다. 또한 미국 정부는 Hidden Cobra와 같은 북한 정부의 악성 사이버 활동을 언급했다”고 말했다.

Joanap으로 알려진 첫번째 위협은 봇넷을 관리하고 데이터 유출, 추가 페이로드 설치, 프록시 통신 설정과 같은 악성 활동을 수행하기 위해 peer-to-peer 통신을 사용하는 2단계 RAT이다. Joanap을 통해 Hidden Cobra 그룹은 손상된 윈도우 장치에서 데이터를 유출시키고, 2차 페이로드를 삭제 및 실행하거나 프록시 통신을 초기화하는 등의 행위가 가능하다.

두번째 멀웨어인 Brambul은 정부 연구원들에 의해 발견되었고, 윈도우 32비트 SMB 웜이다. Brambul은 서비스 동적 링크 라이브러리 파일로 사용되거나, 드롭퍼 멀웨어에 의해 타깃 네트워크에 설치되는 휴대용 실행 파일로 사용된다.

실행시 멀웨어는 사용자의 시스템에 접속하고 로컬 서브넷에 있는 IP 주소들에 연결을 시도한다. 접속에 성공할 경우 애플리케이션은 SMB 프로토콜(포트 139와 445)을 통해 인가되지 않은 접근을 시도한다. 추가로 멀웨어는 추가 공격을 위한 랜덤 IP 주소를 생성한다.

이 두개 악성코드는 한국 정부기관과 기업에서도 각별한 주의를 기울여야 한다.

한편 네트워크 관리자들은 이번 경고에 포함된 기타 지표들을 사용해 Joanap과 Brambul 멀웨어를 모두 탐지하고 감염을 예방할 수 있다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★