Avast 사이버 보안 회사의 보고서에 따르면, 북한 해커들이 eScan 안티바이러스의 업데이트 메커니즘을 악용하여 대기업 네트워크에 백도어를 심고, GuptiMiner 악성 코드를 통해 암호화폐 채굴자를 전달하고 있습니다. 이들은 정상적인 바이러스 정의 업데이트 패키지를 가로채고 'updll62.dlz'라는 악성 파일로 대체하였습니다. 이 악성 파일에는 필요한 안티바이러스 업데이트와 함께 'version.dll'이라는 DLL 파일로서의 GuptiMiner 악성 코드가 포함되어 있습니다.
eScan 업데이터는 패키지를 정상적으로 처리하며, 이를 풀고 실행합니다. 이 과정에서 DLL은 eScan의 합법적인 바이너리에 의해 사이드로드되어 악성 코드에 시스템 수준의 권한을 부여합니다. 그 다음, DLL은 공격자의 인프라에서 추가 페이로드를 가져오고, 예약된 작업을 통해 호스트에 지속성을 확립하며, DNS 조작을 수행하고, 합법적인 프로세스에 쉘 코드를 주입합니다.
Avast 연구원들은 GuptiMiner가 북한 APT 그룹 Kimsuki와 연결될 수 있다고 말하며, 이는 정보 도용 기능과 Kimsuky 키로거 사이의 유사성에 기반합니다. 연구원들은 또한 GuptiMiner 작업의 일부가 Kimsuki와의 가능한 연결을 시사한다고 발견하였습니다. 공통점은 mygamesonline[.]org 도메인의 사용으로, 이는 일반적으로 Kimsuky 작업에서 볼 수 있습니다.
요약
- 북한 해커들이 eScan 안티바이러스의 업데이트 메커니즘을 악용하여 대기업 네트워크에 백도어를 심고, GuptiMiner 악성 코드를 통해 암호화폐 채굴자를 전달하고 있다.
- eScan 업데이터는 악성 코드를 정상적인 패키지로 처리하며, 이를 풀고 실행한다. 이 과정에서 DLL은 eScan의 합법적인 바이너리에 의해 사이드로드되어 악성 코드에 시스템 수준의 권한을 부여한다.
- Avast 연구원들은 GuptiMiner가 북한 APT 그룹 Kimsuki와 연결될 수 있다고 말하며, 이는 정보 도용 기능과 Kimsuky 키로거 사이의 유사성에 기반한다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.