2024 년 5 월 둘째 주, 위협 동향 보고서

(Threat Intelligence Report)

 –목차–

1 2024 년 5 월 둘째 주, 최신 위협 현황 ......................................................................................... 3

美 정부, ‘北 Kimsuky 해킹’ 합동 보안권고문 발표 ...................................... 3

이란 해킹그룹의 광범위한 사회공학적 APT 공격 주의 ................................ 9

온라인 게임 리소스 팩을 통해 유포되는 zEus Stealer ............................... 19

2 관련 용어 ............................................................................................................................................... 25

Page | 2
1 2024 년 5 월 둘째 주, 최신 위협 현황
美 정부, ‘北 Kimsuky 해킹’ 합동 보안권고문 발표

1.1.1 키워드 및 요약
+ 키워드: Malware, Spear Phishing, NK
+ 요약: 美 정부, ‘北 공격자의 DMARC 정책 악용 스피어피싱 주의’ 권고문 발표

1.1.2 위협 설명
+ 美 국무부, 연방수사국(FBI), 국가안보국(NSA)은 北 Kimsuky 해킹조직의 스피어
피싱 메일 공격 사례 및 대응 방법이 포함된 사이버보안 권고문을 발표
+ Kimsuky 해킹조직은 사회공학적 해킹 공격을 숨기기 위해 이메일 서버 DMARC
레코드 정책을 악용하였으며, DMARC 관련 정책을 제대로 구성하지 않을 경우
스푸핑 된 이메일을 합법적인 도메인에서 발송된 것처럼 속일 수 있음
+ Kimsuky 해킹조직은 北 관련 정책을 다루는 기자, 학계 인사 및 기타 동아시아
전문가 등으로 위장한 스피어피싱 공격을 수행하고 있으며, 이러한 스피어피싱
활동을 통해 공격 대상자들의 기밀 문서, 연구결과, 통신 내용 등에 불법적으로
접근하여 외교전략 및 북한의 이해관계에 영향을 미칠 수 있는 정보를 수집

[美 정부 보안권고문 내용 일부]
[1] DMARC (Domain-based Message Authentication Reporting and Conformance): 이메일 발신자를
확인하고 이메일 보안을 강화하기 위한 인사이트를 제공하는 이메일 인증 프로토콜

Page | 3
1.1.3 위협 분석
1.1.3.1 공격 사례 1
+ 북한 사이버 공격자는 2023 년 말~2024 년 초 사이 미국 정부 관계자 및 국제
기구(USG) 관계자에게 컨퍼런스 초청 이메일을 발송하였으며, 수신자를 적극적
으로 유인 하기 위해 여행 경비 및 숙소, 기타 비용을 제공한다고 언급

[공격에 사용된 이메일 내용 (1)]

Page | 4
+ 공격에 사용된 이메일의 헤더 확인 시 dkim(DomainKeys Identified Mail) 및 spf(Send
er Policy Framework)에 대해 ‘pass’ 를 반환하는데, 이는 공격자가 이메일을 보내기
위해 한 대학의 합법적인 이메일 클라이언트 액세스에 성공한 것으로 보여짐
+ 반면 보낸 사람 메일 주소(합법적인 싱크탱크 도메인)가 dkim 및 spf 레코드와
다르기 때문에 DMARC 프로토콜은 ‘fail’로 반환되나, ‘p=none’ 설정은 DMARC
검증에 실패했음에도 필터링이 수행되지 않는 정책으로 메일은 정상 발송됨

[공격에 사용된 이메일의 헤더]

+ 공격자는 이외에도 ‘Reply-To’ 이메일을 자신이 관리하는 다른 사기 계정으로
회신하고 이를 또 다른 공격에도 사용하기도 함
+ 결론적으로 북한 사이버 공격자는 허술한 DMARC 정책을 악용하여 실제 발신
되는 도메인을 난독화하고, 이를 통해 합법적인 이메일로 위장하여 사회공학적
공격에 사용 및 악성 페이로드 감염 유도를 통한 정보 유출 수행

Page | 5
1.1.3.2 공격 사례 2
+ 2023 년 11 월 공격자는 합법적인 언론사 소속의 언론인으로 위장 한 뒤 북한과
관련된 문제의 전문가 의견을 구하고 있다는 내용의 스피어피싱 이메일을 발송
+ 특이한 점은 발송에 사용된 이메일이 곧 차단되어 접근이 어려워 진다는 내용을
공개적으로 밝히고, 또 다른 가짜 계정으로 회신을 보내달라고 요청함

Page | 6
 [공격에 사용된 이메일 내용 (2)]
+ 공격자는 보내는 이메일 주소를 인증하는 DMARC 정책이 없는 점을 악용하였
으며, 합법적인 언론인 및 언론 매체의 도메인을 모두 스푸핑하여 공격에 사용

[공격에 사용된 이메일의 헤더]

Page | 7
1.1.4 대응 가이드
- 인증되지 않은 이메일을 스팸으로 간주하도록 조직의 DMARC 정책을 다음 두 가지
구성 중 하나로 업데이트
· v=DMARC1; p=quarantine; (DMARC 에 실패한 이메일을 격리)
· v=DMARC1; p=reject; (DMARC 에 실패한 이메일을 차단)
- DMARC 결과에 대한 집계 보고서를 확인할 수 있도록 “RUA” 정책 필드 설정
- 신뢰할 수 없는 발신자의 첨부파일 및 링크 클릭 주의
- 단말 상에서 사용되는 안티 바이러스 프로그램을 최신버전으로 유지
- 사용되는 어플리케이션 또는 운영체제에 대하여 최신 패치를 반영

1.1.5 참고 자료
- https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-
View/Article/3762915/nsa-highlights-mitigations-against-north-korean-actor-
email-policy-exploitation/
- https://www.ncsc.go.kr:4018/main/cop/bbs/selectBoardArticle.do?bbsId=SecurityA
dvice_main&nttId=133973&pageIndex=1&searchCnd2=#LINK

Page | 8
 이란 해킹그룹의 광범위한 사회공학적 APT 공격 주의

1.2.1 키워드 및 요약
+ 키워드: Malware, Backdoor, Phishing, APT
+ 요약: 언론인 등으로 위장하여 백도어 악성코드를 유포하는 APT42 해킹그룹

1.2.2 위협 설명
+ 최근 이란 정부가 후원하는 해킹그룹으로 알려진 APT42 의 다양한 사회 공학적
기법을 사용한 악성코드 유포 공격 동향이 식별됨
+ 공격자는 미국과 이스라엘의 국방, 외교에 관련된 특정 인물들이나, 언론기관 및
학계, NGO, 인권 운동가 등 이란 정권에 위협이 된다고 인식되는 개인들을 타겟
으로 활동 하는 것으로 보여짐
+ 공격 시 소셜 엔지니어링과 스피어 피싱 공격을 사용하며, 궁극적으로는 대상의
시스템을 맞춤형 백도어 악성코드에 감염시켜 해당 조직 네트워크에 대한 초기
액세스 권한을 탈취하는 것으로 확인됨
+ 공격 대상 피해자의 계정 정보를 포함한 모든 데이터를 탈취한 뒤, 해당 기업의
네트워크나 클라우드 환경에 침투해 이메일, 문서 등 민감 정보 추가 탈취
+ 탐지 및 추적이 어렵도록 모든 상호작용 중 ExpressVPN node, Cloudflare 호스
팅 도메인 및 임시 VPS 서버를 사용

[APT42 의 클라우드 네트워크 공격 Flow map]

Page | 9
1.2.3 위협 분석
1.2.3.1 Microsoft, Yahoo 및 Google 자격 증명 수집
+ 공격자는 다양한 사회 공학적 기법을 이용한 맞춤형 스피어 피싱 캠페인을 통해
광범위한 자격 증명 수집 공격을 수행했으며, ‘정책 및 정부 부문’, ‘미디어 조직
및 언론인’, ‘NGO 및 인권 운동가’ 와 같이 크게 3 가지의 공격 클러스터를 사용

1) Cluster A, 언론 매체 및 NGO 로 위장
- 기간 : 2021 년 ~ 현재
- 표적 : 이란의 관심 지역에 있는 언론인, 연구원 및 지정학적 단체
- 위장 대상
: The Washington Post (U.S.), The Economist (UK), The Jerusalem Post (IL),
Khaleej Times (UAE), Azadliq (Azerbaijan), 기타 언론 단체 및 NGO.
- 공격 벡터
: 뉴스 기사 내용이 포함된 스피어 피싱 이메일을 통해 사용자를 가짜 Google
로그인 페이지로 Redirection 유도

[자신을 사칭한 스피어피싱 이메일을 경고하는 Jerusalem Post 기자 SNS]

2) Cluster B, 합법적인 서비스로 위장

- 기간 : 2019 년 ~ 현재
- 표적 : 연구원, 언론인, NGO 지도자, 인권 운동가 등 이란 정권에 위협이
된다고 인식되는 개인
- 위장 대상
: 일반 로그인 페이지, 파일 호스팅 서비스, YouTube, 외 ‘.top, .online, .site,
.live’ 와 같은 도메인 사용
- 공격 벡터

Page | 10
 : 스피어 피싱을 통해 회의 또는 합법적인 문서에 대한 초대장으로 위장한
링크 전달, 사용자 자격 증명 입력을 요구하며 입력 시 공격자에게 전송됨

[공격에 사용된 가짜 로그인 페이지]

[공격에 사용된 가짜 Google Meet 페이지]

3) Cluster C, Mailer Daemon, URL 단축 서비스 및 NGO 기관으로 위장

- 기간 : 2022 년 ~ 현재
- 표적 : 미국 및 이스라엘의 국방, 외교, 학술과 관련된 개인 및 단체
- 위장 대상
: NGO 기관, Bitly URL 단축 서비스, Mailer Daemon
- 공격 벡터
: 스피어 피싱을 통해 회의 또는 합법적인 문서에 대한 초대장으로 위장한
링크 전달, 사용자 자격 증명 입력을 요구하며 입력 시 공격자에게 전송됨

Page | 11
1.2.3.2 Microsoft 365 환경 표적 공격
+ 잘 알려진 합법적인 NGO 기관의 고위 인사 등으로 위장하여 대상에게 접근하
였으며, 실제 컨퍼런스에 초대하는 자료들을 사용하여 피해자의 신뢰도를 높임

[합법적인 PDF 미끼가 포함된 APT42 의 SharePoint 폴더]

+ 피해자와 일정 수준의 신뢰가 구축된 후 가짜 Microsoft 365 로그인 페이지 등
자격 증명 수집 사이트로 Redirection 하는 링크를 전송하여 자격 증명 수집

[APT42 의 가짜 LinkedIn 로그인 페이지]

Page | 12
+ 공격자는 피해자가 로그인을 시도할 시 인증 메시지를 보내 MFA 토큰 정보를
획득하거나, 다른 피싱 사이트를 통해 SMS 로 전송된 MFA 토큰을 캡처 및 탈취
후 Microsoft 365 계정에 접근
+ 이후 OneDrive 문서, Outlook 메일을 포함하여 Microsoft 365 환경에서 다양한
데이터를 추출하였으며, 아래와 같은 추가 행위 수행

[Microsoft 365 침투 후 데이터 유출]

[APT42 의 공격 라이프사이클]

1.2.3.3 악성코드 기반 공격
+ 스피어 피싱 이메일과 함께 ‘TAMECAT’, ‘NICECURL’ 라는 이름의 맞춤형 백도어
악성코드를 배포하는 것이 확인되었으며, 감염 시 추가 악성코드를 Drop 하거나
수동으로 추가 명령을 실행하기 위한 인터페이스 제공
Malware name Description

[공격에 사용된 백도어 악성코드 설명]

Page | 13
1.2.4 침해 지표 (Indicators of Compromise)
Indicator type Indicator

Domain azadlliq[.]info

Domain businesslnsider[.]org

Domain ecomonist[.]org

Domain eocnomist[.]com

Domain foreiqnaffairs[.]com

Domain forieqnaffairs[.]com

Domain foreiqnaffairs[.]org

Domain israelhayum[.]com

Domain jpost[.]press

Domain jpostpress[.]com

Domain khaleejtimes[.]org

Domain khalejtimes[.]org

Domain maariv[.]net

Domain themedealine[.]org

Domain timesfisrael[.]com

Domain vanityfaire[.]org

Domain washinqtonpost[.]press

Domain ynetnews[.]press

Domain account-signin[.]com

Domain acconut-signin[.]com

Domain accounts-mails[.]com

Domain coordinate[.]icu

Domain dloffice[.]top

Domain dloffice[.]buzz

Domain myaccount-signin[.]com

Domain signin-acconut[.]com

Domain signin-accounts[.]com

Domain signin-mail[.]com

Domain signin-mails[.]com

Domain signin-myaccounts[.]com

Domain support-account[.]xyz

Domain accredit-validity[.]online

Domain activity-permission[.]online

Page | 14
Domain admin-stable-right[.]top

Domain admiscion[.]online

Domain admit-roar-frame[.]top

Domain advission[.]online

Domain affect-fist-ton[.]online

Domain avid-striking-eagerness[.]online

Domain beaviews[.]online

Domain besvision[.]top

Domain bloom-flatter-affably[.]top

Domain book-download[.]shop

Domain bq-ledmagic[.]online

Domain briview[.]online

Domain chat-services[.]online

Domain check-online-panel[.]live

Domain check-pabnel-status[.]live

Domain check-panel-status[.]live

Domain check-panel-status[.]live

Domain check-short-panel[.]live

Domain confirmation-process[.]top

Domain connection-view[.]online

Domain continue-meeting[.]site

Domain continue-recognized[.]online

Domain cvisiion[.]online

Domain drive-access[.]site

Domain endorsement-services[.]online

Domain fortune-retire-home[.]top

Domain geaviews[.]site

Domain glory-uplift-vouch[.]online

Domain go-conversation[.]lol

Domain go-forward[.]quest

Domain gview[.]site

Domain home-continue[.]online

Domain home-proceed[.]online

Domain identifier-direction[.]site

Domain indication-service[.]online

Page | 15
Domain join-paneling[.]online

Domain ksview[.]top

Domain last-check-leave[.]buzz

Domain live-project-online[.]live

Domain live-projects-online[.]top

Domain loriginal[.]online

Domain mail-roundcube[.]site

Domain meeting-online[.]site

Domain mterview[.]site

Domain nterview[.]site

Domain online-processing[.]online

Domain online-video-services[.]site

Domain ovcloud[.]online

Domain panel-check-short[.]live

Domain panel-check-short[.]live

Domain panel-live-check[.]online

Domain panel-short-check[.]live

Domain panel-view-short[.]online

Domain panel-view[.]live

Domain panel-views-cheking[.]live

Domain panelchecking[.]live

Domain paneling-viewing[.]live

Domain panels-views-ckeck[.]live

Domain pannel-get-data[.]us

Domain quomodocunquize[.]site

Domain recognize-validation[.]online

Domain reconsider[.]site

Domain revive-project-live[.]online

Domain short-url[.]live

Domain short-view[.]online

Domain shortenurl[.]online

Domain shortingurling[.]live

Domain shortlinkview[.]live

Domain shortulonline[.]live

Domain shorting-ce[.]live

Page | 16
Domain shoting-urls[.]live

Domain simple-process-static[.]top

Domain status-short[.]live

Domain stellar-roar-right[.]buzz

Domain sweet-pinnacle-readily[.]online

Domain tcvision[.]online

Domain title-flow-store[.]online

Domain twision[.]top

Domain ushrt[.]us

Domain verify-person-entry[.]top

Domain view-cope-flow[.]online

Domain view-panel[.]live

Domain view-pool-cope[.]online

Domain view-total-step[.]online

Domain viewstand[.]online

Domain viewtop[.]online

Domain virtue-regular-ready[.]online

Domain we-transfer[.]shop

Domain m85[.]online

Domain s51[.]online

Domain s59[.]site

Domain s20[.]site

Domain d75[.]site

Domain bitly[.]org[.]il

Domain litby[.]us

Domain daemon-mailer[.]co

Domain daemon-mailer[.]info

Domain email-daemon[.]biz

Domain email-daemon[.]biz[.]tinurls[.]com

Domain email-daemon[.]online[.]tinurls[.]com

Domain email-daemon[.]online

Domain email-daemon[.]site

Domain mailer-daemon[.]info

Domain mailerdaemon[.]online

Domain mailer-daemon[.]us

Page | 17
 Domain aspenlnstitute[.]org

Domain mccainlnstitute[.]org

Domain washingtonlnstitute[.]org

Domain youtransfer[.]live

Domain g-online[.]org

Domain online-access[.]live

Domain youronlineregister[.]com

Domain drive-file-share[.]site

Domain prism-west-candy[.]glitch[.]me

Domain tnt200[.]mywire[.]org

Domain accurate-sprout-porpoise[.]glitch[.]me

FileHash-MD5 d5a05212f5931d50bb024567a2873642

FileHash-MD5 347b273df245f5e1fcbef32f5b836f1d

FileHash-MD5 2f6bf8586ed0a87ef3d156124de32757

FileHash-MD5 13aa118181ac6a202f0a64c0c7a61ce7

FileHash-MD5 c23663ebdfbc340457201dbec7469386

FileHash-MD5 853687659483d215309941dae391a68f

FileHash-MD5 d7bf138d1aa2b70d6204a2f3c3bc72a7

FileHash-MD5 081419a484bbf99f278ce636d445b9d8

FileHash-MD5 c3b9191f3a3c139ae886c0840709865e

FileHash-MD5 dd2653a2543fa44eaeeff3ca82fe3513

FileHash-MD5 9c5337e0b1aef2657948fd5e82bdb4c3

1.2.5 대응 가이드
- 위 IOC 상에 발견된 정보에 대하여 업무 영향도 평가 후 설정 가능한 보안 솔루션을
통해 탐지 및 차단 설정
- 신뢰할 수 없는 발신자의 첨부파일 및 링크 클릭 주의
- 단말 상에서 사용되는 안티 바이러스 프로그램을 최신버전으로 유지
- 사용되는 어플리케이션 또는 운영체제에 대하여 최신 패치를 반영

1.2.6 참고 자료
- https://cloud.google.com/blog/topics/threat-intelligence/untangling-iran-apt42-
operations?hl=en

Page | 18
 온라인 게임 리소스 팩을 통해 유포되는 zEus Stealer

1.3.1 키워드 및 요약
+ 키워드: Malware, Backdoor, Infostealer
+ 요약: 온라인 게임의 리소스 패키지를 이용하여 유포되는 zEus Stealer 악성코드

1.3.2 위협 설명
+ 최근 zEus Stealer 악성코드가 YouTube 를 통해 광고 및 공유되는 특정 게임의
리소스 팩에 숨겨져 유포되는 동향이 확인됨
+ 게임 리소스 팩은 사용자들의 즐거움과 가치를 높이기 위해 게임 내부에 사용된
일부 모양(배경, 사물 등)이나 동작 등을 변경할 수 있도록 하는 패키지로, 이는
사이버 공격자가 악성코드를 배포하는데 악용되기도 함
+ 최근 확인된 공격에서 인기 게임인 Minecraft 소스 팩을 통해 zEus Stealer 악성
코드가 유포되었으며, WinRAR 자동 추출 파일에 Windows 화면 보호기 파일로
위장한 상태로 포함됨
+ zEus Stealer 는 감염 시 피해자와 커뮤니케이션 (채팅)기능 및 다양한 민감정보
들을 수집하며, C2 서버를 통해 추가 명령 수신 및 수집 정보 유출에 사용

[zEus Stealer 공격 체인]

Page | 19
1.3.3 위협 분석
+ 공격에 사용된 Minecraft 소스 팩에는 Windows 화면 보호기(.scr) 파일로 위장한
악성코드(zEus Stealer)가 존재함

[Windows 화면 보호기로 위장한 악성파일]

+ 실행된 악성코드는 실행 환경이 분석 시스템인지 여부를 확인하기 위해, 현재
실행 중인 프로세스를 블랙리스트와 비교

[분석 환경 탐지를 위한 블랙리스트]

+ 위 과정에 특이사항이 발견되지 않을 경우 감염 시스템내 다양한 민감 정보들을
검색 후 특정 경로에 각각의 폴더를 생성하여 저장

[탈취 정보 저장 경로]

Page | 20
 [탈취 대상 정보 리스트 상세]
+ 또한 특정 경로에 다수의 스크립트 파일을 Drop 후 실행하여 추가 행위를 수행
하며, 일부는 지속성을 설정하여 부팅 시 마다 자동 실행되도록 등록됨

[스크립트 파일 Drop 경로 및 지속성 설정]

Feature File Name

Page | 21
 [Drop 된 스크립트 파일 및 각 기능]
+ 위에서 Drop 된 RAT.bat 파일은 COMMANDS.txt 파일에 C2 서버로부터 수신된
명령을 다운로드 후 실행하며, 실행 결과는 History.txt 에 기록되고 Webhook 를
통해 공격자에게 전송됨

[화면 잠금 실행 명령]

1.3.4 침해 지표 (Indicators of Compromise)

Indicator type Indicator

Domain onlinecontroler[.]000webhostapp[.]com

Domain panel-controller[.]000webhostapp[.]com

hxxps[:]//discord[.]com/api/webhooks/1212818346157015070/2v0xe2vrxFGv65MRE9qvICmsJw-
URL
5e_pq_28xscGybiY1ScEyEiSKMC_zFffr3KkuAimX
hxxps[:]//discord[.]com/api/webhooks/1212821302671581224/L30ylYucowXO_rm7sUpdwA8DLbYet6Nyv
URL
UsNV60EP1o1HnF-2M-UPsvatVGQY0ctO9Vk
hxxps[:]//discord[.]com/api/webhooks/1212818346157015070/2v0xe2vrxFGv65MRE9qvICmsJw-
URL
5e_pq_28xscGybiY1ScEyEiSKMC_zFffr3KkuAimX
hxxps[:]//discord[.]com/api/webhooks/1212821302671581224/L30ylYucowXO_rm7sUpdwA8DLbYet6Nyv
URL
UsNV60EP1o1HnF-2M-UPsvatVGQY0ctO9Vk
hxxps[:]//discord[.]com/api/webhooks/1212818346157015070/2v0xe2vrxFGv65MRE9qvICmsJw-
URL
5e_pq_28xscGybiY1ScEyEiSKMC_zFffr3KkuAimX
hxxps[:]//discord[.]com/api/webhooks/1216834085205311708/2Rx-yUIHeCnuhuLskpz25Ghf-
URL
YWeP6Si6oiUSN4SMQYNkeJfVJiYNC4Xy_Oj0ZNQ1qTC

Page | 22
 hxxps[:]//discord[.]com/api/webhooks/1117543783714787458/U_DdPjJm7rM7Q2asPiMISLTrbd3oGw3oV
URL
Q25_XU37HCmM6QIQ804SJAH4_h0AT2Vr_cv
hxxps[:]//discord[.]com/api/webhooks/1191890861622050848/iJVVE3x3xilf4TeZNiERydXZPF5TRE1UhM4E
URL
w06uHn95b0k0KDViw3YnhdynrXn17OKa
hxxps[:]//discord[.]com/api/webhooks/1215746939635892344/CmKTGdIvizEpR4FgvvLJm3Bcbjg3AKlNGlw
URL
d2S-yIO-GRBXZZbn0OwG39kKnx7mDur4T
hxxps[:]//discord[.]com/api/webhooks/1223978005127364659/3E0hHtDqDOHQJBaG8ifspilk2mY8E1s4Ke
URL
QY36inBq-tq5q6aZex8U0YJVxVlloFJj5X
hxxps[:]//discord[.]com/api/webhooks/1224075124005929020/kA4IFZrIXBl_d1Y4I0sMHhF1cZzXvC-
URL
yEo5HzSk6Jzq_I0k1PCc1idn4FmqSC2UMljdD

FileHash-SHA256 aabfbef31ab073d99c01ecae697f66bbf6f14aa5d9c295c7a6a548879381fb24

FileHash-SHA256 c9687714cf799e5ce9083c9afa3e622c978136d339fc9c15e272b0df9cd7e21c

FileHash-SHA256 d9d394cc2a743c0147f7c536cbb11d6ea070f2618a12e7cc0b15816307808b8a

FileHash-SHA256 c2c8a7050b28d86143f4d606a6d245b53c588bc547a639094fce857962246da4

FileHash-SHA256 be9ea302bcfb52fbfdf006b2df8357388cd4c078059aabc5b5928676c3361e50

FileHash-SHA256 9d3409852348caa65d28e674008dd6bb986eed4fb507957c7a8b73a41e00be70

FileHash-SHA256 b6e8b612e99c54dd98af1756f7c9b8a8c19e31ed9b2836878c2a5144563ff1b2

FileHash-SHA256 8a2f6d5f6cf7d1a7534454e3c3007337b71d7da470e86f7636eb02d68b2db8cc

FileHash-SHA256 df6156fdbbcc7b6f8c9cb4c5c1b0018fc3f1e1ca7d949b5538ec27dc86d026a4

FileHash-SHA256 5840f3e43a0c635be94b5fbf2e300d727545371b582361a52682b4a9e08bcebd

FileHash-SHA256 51ede75315d858209f9aa60d791c097c18d38f44b9d050b555ff1f4de0ae672d

FileHash-SHA256 d1865d2aaf11e3f8bccefe9c4847510234f14aaa5378ce9e8e97553537cf2ca1

FileHash-SHA256 9ba19d614af029c3c198b576ccdf1de87d80ac14b12103e8a15376229a2a7860

FileHash-SHA256 6063c8285e13d10eabbe363e2ab0d8748bcd595b470698e0cffee31ba255a566

FileHash-SHA256 d1a18b436f947611914ced09e4465b49807cec4f3a62b0973c9017b6d82c9f70

FileHash-SHA256 1cdd580176eeb4342a0333b50454da061e473358274e6e543df1411186c12042

FileHash-SHA256 ed59a797521db06abdf4c88dad7b1666e5978aaa6670a5952a55b7e11f7b790e

FileHash-SHA256 2ceae724f0e96e2d8c47296dd1e73ac592e22ee3288eabf11c8d039c6d6d4f8b

FileHash-SHA256 03983b56d8b1a6cc43109f6cd67a13666367595a2ea07766127cb1fe4d4bb1a5

FileHash-SHA256 9940da9d02d29489c3e26d27feb15b6f4bbf49547b962592125441917c952f12

FileHash-SHA256 fbf967295dac00f1e9cb67e9a40b6729b003dd12cf022eb15d626df09716442d

FileHash-SHA256 4e0a96ab28570936d095ac3910dcd239c7ceeb2b38a070468404584f8b902dd1

FileHash-SHA256 20009fd157a898ad6d50fae6b8127056c5b1f50e31f90f01d2e6c13e6b4c38f8

1.3.5 대응 가이드
- 위 IOC 상에 발견된 정보에 대하여 업무 영향도 평가 후 설정 가능한 보안 솔루션을
통해 탐지 및 차단 설정

Page | 23
- 신뢰할 수 없는 발신자의 첨부파일 및 링크 클릭 주의
- 단말 상에서 사용되는 안티 바이러스 프로그램을 최신버전으로 유지
- 사용되는 어플리케이션 또는 운영체제에 대하여 최신 패치를 반영

1.3.6 참고 자료
- https://www.fortinet.com/blog/threat-research/zeus-stealer-distributed-via-
crafted-minecraft-source-pack

Page | 24
2 관련 용어
- 피싱 (Phishing): 전자우편 또는 메신저를 통해 신뢰할 수 있는 사람 또는 기업이
보낸 메시지인 것처럼 가장하여, 비밀번호 및 신용카드 정보와 같이 기밀을 요하는
정보를 부정하게 얻으려는 social engineering 공격의 한 종류
- 스피어 피싱 (Spear Phishing): 특정 기관이나 특정인을 표적으로 삼아 악성메일을
발송하고, 컴퓨터를 감염시켜 정보 등을 탈취하는 ‘표적형 악성 메일’ 공격
- DMARC (Domain-based Message Authentication Reporting and Conformance):
이메일 발신자를 확인하고 이메일 보안을 강화하기 위한 인사이트를 제공하는
이메일 인증 프로토콜
- 백 도어 (Backdoor): 일반적인 인증을 통과, 원격 접속을 보장하고, plaintext 의
접근을 취득하는 등의 행동을 들키지 않고 행하는 방법
- 트로이목마 (Trojan): 외형적으로는 정상 프로그램 같아 보이지만 시스템 파괴 등의
악의적인 행위를 포함하고 있는 악성 프로그램
- 지능형 지속 공격 (APT): 조직이나 개인이 기업/조직 등의 특정 대상을 선정 후
다양한 IT 기술과 공격방식을 기반으로 지능적이고 지속적으로 공격하는 방식
- MFA (Multi-Factor Authentication): ‘다중 요소 인증’ 이라는 뜻으로 적어도 두
가지 이상의 별도 인증 매커니즘에 성공적으로 확인된 이후 접근 권한이 주어지는
접근 제어 방식
- 인포스틸러 (Infostealer): 트로이목마 악성코드의 한 종류로 자격증명 정보 및
문서, 파일 등 정보 탈취를 목적으로 하는 악성코드
- 원격 관리 도구 (RAT): 본래 원격 관리 도구(Remote Administrator Tool)를 뜻하나
공격자에게 컴퓨터 통제권을 넘겨주게 되는 악성코드로 악용될 수 있음
- C2 (C&C 서버): 악성코드(봇넷 등)을 제어하기 위해 사용되는 명령 제어 서버

Page | 25
End of Document

Page | 26