북한의 국가 후원 해킹 그룹인 'Andariel'이 랜섬웨어 서비스(RaaS)인 'Play' 작업과 연결되어 제재를 회피하고 있다는 보고가 나왔습니다. Palo Alto Networks와 그 연구팀 Unit 42는 Andariel이 Play의 제휴사이거나 초기 접근 중개인(IAB)으로서 몇 달 전 침해한 네트워크에 악성 소프트웨어를 배포하는 역할을 하고 있을 수 있다고 주장했습니다. Andariel은 북한의 군사 정보 기관인 정찰총국과 연관된 것으로 알려진 국가 후원 APT 그룹입니다.
2024년 9월 Play 랜섬웨어 사건에 대한 대응 과정에서 Unit 42는 Andariel이 2024년 5월 말에 고객의 네트워크를 침해했다는 사실을 발견했습니다. 위협 요소들은 초기 접근을 위해 손상된 사용자 계정을 사용한 후, 레지스트리 덤프를 추출하고 Mimikatz를 배포하여 자격 증명을 수확했습니다. 그 후, 명령 및 제어(C2) 신호를 위해 오픈 소스 펜테스팅 스위트인 Sliver를 배포하고, SMB를 통해 모든 접근 가능한 호스트에 서명된 사용자 정보 도용 악성 소프트웨어인 DTrack을 배포했습니다.
랜섬웨어 서비스 작업은 일반적으로 제휴사(또는 "광고주")는 랜섬 지불금의 70-80%를 얻고, 랜섬웨어 개발자는 나머지를 얻는 방식으로 수익을 분배합니다. 그러나 실제로는 이보다 복잡한 경우가 많습니다. 대부분의 경우, 제휴사는 기업 네트워크를 침해하고, 존재를 확립한 후, 암호화 도구를 배포하는 제휴사에게 접근 권한을 넘기는 "침투 테스터"와 함께 작업합니다. 랜섬 지불이 이루어진 후, 랜섬웨어 운영자, 침투 테스터, 제휴사는 돈을 서로 나눕니다. Andariel이 제휴사인지 초기 접근 중개인인지에 관계없이, 랜섬웨어 갱들과 뒷편에서 작업하는 것은 북한의 위협 요소들이 국제 제재를 회피하는 데 도움이 됩니다.
요약
- 북한의 국가 후원 해킹 그룹 'Andariel'이 랜섬웨어 서비스 'Play' 작업과 연결되어 제재를 회피하고 있다는 보고가 나왔다.
- Unit 42는 2024년 5월 말에 Andariel이 고객의 네트워크를 침해했으며, 이후 몇 달 동안 네트워크에 존재를 확립하고 악성 소프트웨어를 배포했다는 사실을 발견했다.
- 랜섬웨어 갱들과 뒷편에서 작업하는 것은 북한의 위협 요소들이 국제 제재를 회피하는 데 도움이 된다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.