Threat Intelligence
APT37의 페이스북 위장 접근 및 소프트웨어 변조 공격 분석
북한 연계 APT37이 페이스북 위장 계정으로 표적을 사전 접촉한 뒤 변조된 PDF 뷰어 설치 파일로 RokRAT 변종을 배포하는 정교한 다단계 공격이 확인됐다. PE 패칭, 3중 XOR 암호화, 파일리스 실행, Zoho WorkDrive C2 활용이 특징이다.
Continue readingThreat Intelligence
APT37의 Python 백도어 캠페인 분석 — 딥페이크 사칭 스피어피싱
북한 연계 APT37이 딥페이크 군 신분증 사칭, 항공 e-티켓 등 사회공학 테마로 스피어피싱을 수행하며 Python 컴파일 백도어를 배포한다. 배치 파일 환경변수 치환 난독화와 .cat 확장자 위장 기법이 특징이다.
Continue reading