{ "id": "96534df0-d756-410f-8b32-263bdb4d0c7d", "created_at": "2026-04-06T00:21:51.179537Z", "updated_at": "2026-04-10T03:38:06.602714Z", "deleted_at": null, "sha1_hash": "1a44c392d179a7603712202f2784c38ec10dce31", "title": "TTPs #9: 개인의 일상을 감시하는 공격전략 분석", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 108145, "plain_text": "TTPs #9: 개인의 일상을 감시하는 공격전략 분석\r\nArchived: 2026-04-05 15:10:19 UTC\r\n본 보고서에서는 2021년부터 현재까지 개인의 PC(사무용 포함)를 타겟으로 단말기 정보를 탈취하는, 고도\r\n화된 정보수집 활동과 공격 기법, 전술 그리고 절차에 대해 설명합니다. 상세한 정보를 도출하기 위하여\r\n공격자가 악용한 서버를 직접 분석했으며, 분석결과를 검증하기 위해 글로벌 백신업체로부터 추가적인\r\n정보를 공유받아 TTPs(Tactics, Techniques, and Procedures)를 도출하였습니다.\r\n공격자는 피싱메일의 미끼 파일과 IP 필터링을 통해 특정 개인을 Chinotto 악성코드에 감염시키고, 사무용\r\n컴퓨터와 스마트폰에 대한 정보탈취를 시도합니다. 본 보고서에서는 이러한 과정에서 사용된 공격자의\r\n명령과 사용된 기법 등 공격그룹 특유의 행위를 명시합니다.\r\n이번 보고서에서 확인한 Chinotto 악성코드는 보안전문가 사이에서 ScarCruft 그룹이 사용하는 악성코드라\r\n고 알려져 있습니다. 그러나 사고조사 과정에서 확보한 공격자의 자원을 수집 및 분석한 결과, ▲ 피싱메\r\n일 정보수집기 내 메일송신기능 ▲ 백도어용 계정명 ▲ 피싱 이메일 형식 ▲ 명령어(파라미터 포함)를 기\r\n준으로 Kimsuky 그룹의 공격 자원과도 유사하다고 확인하였습니다. 백신업체들은 본 보고서에서 다루는\r\n사건의 주체를 ScarCruft, 금성121, Kimsuky 등으로 각각 정의하고 있습니다. 하지만, 위의 유사성에도 불\r\n구하고 Kimsuky 그룹이 아니라 ScarCruft라고 판단한 이유는 공격그룹의 목적과 목표에 따라 대응범위를\r\n차별화하여 집중시킬 수 있기 때문입니다.\r\n본 보고서를 통해 공개한 TTPs는 직접적으로 공격자의 공격 속도를 늦출 수 있으며, 유관기관의 방어능력\r\n강화를 위한 새로운 인사이트 도출로 이어질 것입니다.\r\n정보유출 사고는 매년 끊임없이 지속적으로 발생하고 있습니다. 한국인터넷진흥원(KISA)은 정보유출 사\r\n고를 분석하는 과정에서 한국에 거주하는 특정 인물들을 대상으로 한 정보 수집 활동을 포착할 수 있었습\r\n니다. 개인 PC가 감염되면, 공격 대상 뿐 아니라 공격 대상의 주변인 정보까지 유출 될 수 있으며, 이 정보\r\n를 바탕으로 피해자를 사칭해 주변인에게까지 악성 메일을 발송하는 등 추가적인 피해를 야기할 수 있습\r\n니다.\r\n일반적으로 유출된 정보의 가치는 개인보다 기업이 크기 때문에, 고 수준의 공격전략을 활용하는 공격 그\r\n룹은 기업을 타겟으로 활동합니다. 하지만, 본 보고서에서는 기존 보고서의 기업정보 탈취가 중심이 아닌,\r\n공격 대상(인물)의 개인 PC, 업무용 PC를 노려 단말기 정보(데스크톱, 모바일 기기)를 탈취하는 고도화된\r\n정보수집 활동과 공격 기법, 전술 그리고 절차에 대해 서술합니다.\r\n본 보고서에서 정의한 공격 활동은 2021년부터 현재까지 계속 진행 중인 공격입니다. 우리는 공격자가 악\r\n용한 서버를 분석 했으며, 이 과정에서 공격자의 서버에서 확인된 여러 공격 기법과 전략, 전술 등을 파악\r\n할 수 있었습니다. 추가로, 우리는 글로벌 백신업체(AhnLab, ESTsecurity, Kaspersky)에서 해당 공격 활동과\r\n관련된 악성코드, 명령어 등 정보를 공유받아 더욱 명확하게 공격 프로세스에 대해 확인 했습니다.\r\n백신업체들은 이 공격의 주체를 각각 ScarCruft, 금성121, Kimsuky 등으로 구분 짓고 관리합니다. 우리는\r\n이번 보고서에서 특정 인물들을 대상으로 한 정보수집 공격 분석 뿐 아니라, 본 사고가 해당 그룹들과 어\r\n떠한 연관성을 가지고 있는지 이야기합니다.\r\nhttps://thorcert.notion.site/TTPs-9-f04ce99784874947978bd2947738ac92\r\nPage 1 of 2\n\n상세한 분석결과는 공격의 흐름을 파악할 수 있도록 구성한 3장 Attack Scenario와 TTPs를 기준으로 정리\r\n한 4장 ATT\u0026CK Matrix에서 확인할 수 있습니다. 이후 5장 Attribution에서는 사고 분석을 통해 공격그룹의\r\n특징이 중첩되어가는 현상과 이에 대한 고민을 공유하고, 마지막 결론을 통해 마무리합니다.\r\nSource: https://thorcert.notion.site/TTPs-9-f04ce99784874947978bd2947738ac92\r\nhttps://thorcert.notion.site/TTPs-9-f04ce99784874947978bd2947738ac92\r\nPage 2 of 2", "extraction_quality": 1, "language": "KO", "sources": [ "Malpedia" ], "references": [ "https://thorcert.notion.site/TTPs-9-f04ce99784874947978bd2947738ac92" ], "report_names": [ "TTPs-9-f04ce99784874947978bd2947738ac92" ], "threat_actors": [ { "id": "6f30fd35-b1c9-43c4-9137-2f61cd5f031e", "created_at": "2025-08-07T02:03:25.082908Z", "updated_at": "2026-04-10T02:00:03.744649Z", "deleted_at": null, "main_name": "NICKEL FOXCROFT", "aliases": [ "APT37 ", "ATK4 ", "Group 123 ", "InkySquid ", "Moldy Pisces ", "Operation Daybreak ", "Operaton Erebus ", "RICOCHET CHOLLIMA ", "Reaper ", "ScarCruft ", "TA-RedAnt ", "Venus 121 " ], "source_name": "Secureworks:NICKEL FOXCROFT", "tools": [ "Bluelight", "Chinotto", "GOLDBACKDOOR", "KevDroid", "KoSpy", "PoorWeb", "ROKRAT", "final1stpy" ], "source_id": "Secureworks", "reports": null }, { "id": "bbe36874-34b7-4bfb-b38b-84a00b07042e", "created_at": "2022-10-25T15:50:23.375277Z", "updated_at": "2026-04-10T02:00:05.327922Z", "deleted_at": null, "main_name": "APT37", "aliases": [ "APT37", "InkySquid", "ScarCruft", "Group123", "TEMP.Reaper", "Ricochet Chollima" ], "source_name": "MITRE:APT37", "tools": [ "BLUELIGHT", "CORALDECK", "KARAE", "SLOWDRIFT", "ROKRAT", "SHUTTERSPEED", "POORAIM", "HAPPYWORK", "Final1stspy", "Cobalt Strike", "NavRAT", "DOGCALL", "WINERACK" ], "source_id": "MITRE", "reports": null }, { "id": "552ff939-52c3-421b-b6c9-749cbc21a794", "created_at": "2023-01-06T13:46:38.742547Z", "updated_at": "2026-04-10T02:00:03.08515Z", "deleted_at": null, "main_name": "APT37", "aliases": [ "Operation Daybreak", "Red Eyes", "ScarCruft", "G0067", "Group123", "Reaper Group", "Ricochet Chollima", "ATK4", "APT 37", "Operation Erebus", "Moldy Pisces", "APT-C-28", "Group 123", "InkySquid", "Venus 121" ], "source_name": "MISPGALAXY:APT37", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "191d7f9a-8c3c-442a-9f13-debe259d4cc2", "created_at": "2022-10-25T15:50:23.280374Z", "updated_at": "2026-04-10T02:00:05.305572Z", "deleted_at": null, "main_name": "Kimsuky", "aliases": [ "Kimsuky", "Black Banshee", "Velvet Chollima", "Emerald Sleet", "THALLIUM", "APT43", "TA427", "Springtail" ], "source_name": "MITRE:Kimsuky", "tools": [ "Troll Stealer", "schtasks", "Amadey", "GoBear", "Brave Prince", "CSPY Downloader", "gh0st RAT", "AppleSeed", "Gomir", "NOKKI", "QuasarRAT", "Gold Dragon", "PsExec", "KGH_SPY", "Mimikatz", "BabyShark", "TRANSLATEXT" ], "source_id": "MITRE", "reports": null }, { "id": "760f2827-1718-4eed-8234-4027c1346145", "created_at": "2023-01-06T13:46:38.670947Z", "updated_at": "2026-04-10T02:00:03.062424Z", "deleted_at": null, "main_name": "Kimsuky", "aliases": [ "G0086", "Emerald Sleet", "THALLIUM", "Springtail", "Sparkling Pisces", "Thallium", "Operation Stolen Pencil", "APT43", "Velvet Chollima", "Black Banshee" ], "source_name": "MISPGALAXY:Kimsuky", "tools": [ "xrat", "QUASARRAT", "RDP Wrapper", "TightVNC", "BabyShark", "RevClient" ], "source_id": "MISPGALAXY", "reports": null }, { "id": "c8bf82a7-6887-4d46-ad70-4498b67d4c1d", "created_at": "2025-08-07T02:03:25.101147Z", "updated_at": "2026-04-10T02:00:03.846812Z", "deleted_at": null, "main_name": "NICKEL KIMBALL", "aliases": [ "APT43 ", "ARCHIPELAGO ", "Black Banshee ", "Crooked Pisces ", "Emerald Sleet ", "ITG16 ", "Kimsuky ", "Larva-24005 ", "Opal Sleet ", "Ruby Sleet ", "SharpTongue ", "Sparking Pisces ", "Springtail ", "TA406 ", "TA427 ", "THALLIUM ", "UAT-5394 ", "Velvet Chollima " ], "source_name": "Secureworks:NICKEL KIMBALL", "tools": [ "BabyShark", "FastFire", "FastSpy", "FireViewer", "Konni" ], "source_id": "Secureworks", "reports": null }, { "id": "71a1e16c-3ba6-4193-be62-be53527817bc", "created_at": "2022-10-25T16:07:23.753455Z", "updated_at": "2026-04-10T02:00:04.73769Z", "deleted_at": null, "main_name": "Kimsuky", "aliases": [ "APT 43", "Black Banshee", "Emerald Sleet", "G0086", "G0094", "ITG16", "KTA082", "Kimsuky", "Larva-24005", "Larva-25004", "Operation Baby Coin", "Operation Covert Stalker", "Operation DEEP#DRIVE", "Operation DEEP#GOSU", "Operation Kabar Cobra", "Operation Mystery Baby", "Operation Red Salt", "Operation Smoke Screen", "Operation Stealth Power", "Operation Stolen Pencil", "SharpTongue", "Sparkling Pisces", "Springtail", "TA406", "TA427", "Thallium", "UAT-5394", "Velvet Chollima" ], "source_name": "ETDA:Kimsuky", "tools": [ "AngryRebel", "AppleSeed", "BITTERSWEET", "BabyShark", "BoBoStealer", "CSPY Downloader", "Farfli", "FlowerPower", "Gh0st RAT", "Ghost RAT", "Gold Dragon", "GoldDragon", "GoldStamp", "JamBog", "KGH Spyware Suite", "KGH_SPY", "KPortScan", "KimJongRAT", "Kimsuky", "LATEOP", "LOLBAS", "LOLBins", "Living off the Land", "Lovexxx", "MailPassView", "Mechanical", "Mimikatz", "MoonPeak", "Moudour", "MyDogs", "Mydoor", "Network Password Recovery", "PCRat", "ProcDump", "PsExec", "ReconShark", "Remote Desktop PassView", "SHARPEXT", "SWEETDROP", "SmallTiger", "SniffPass", "TODDLERSHARK", "TRANSLATEXT", "Troll Stealer", "TrollAgent", "VENOMBITE", "WebBrowserPassView", "xRAT" ], "source_id": "ETDA", "reports": null }, { "id": "9b02c527-5077-489e-9a80-5d88947fddab", "created_at": "2022-10-25T16:07:24.103499Z", "updated_at": "2026-04-10T02:00:04.867181Z", "deleted_at": null, "main_name": "Reaper", "aliases": [ "APT 37", "ATK 4", "Cerium", "Crooked Pisces", "G0067", "Geumseong121", "Group 123", "ITG10", "InkySquid", "Moldy Pisces", "Opal Sleet", "Operation Are You Happy?", "Operation Battle Cruiser", "Operation Black Banner", "Operation Daybreak", "Operation Dragon messenger", "Operation Erebus", "Operation Evil New Year", "Operation Evil New Year 2018", "Operation Fractured Block", "Operation Fractured Statue", "Operation FreeMilk", "Operation Golden Bird", "Operation Golden Time", "Operation High Expert", "Operation Holiday Wiper", "Operation Korean Sword", "Operation North Korean Human Right", "Operation Onezero", "Operation Rocket Man", "Operation SHROUDED#SLEEP", "Operation STARK#MULE", "Operation STIFF#BIZON", "Operation Spy Cloud", "Operation Star Cruiser", "Operation ToyBox Story", "Osmium", "Red Eyes", "Ricochet Chollima", "Ruby Sleet", "ScarCruft", "TA-RedAnt", "TEMP.Reaper", "Venus 121" ], "source_name": "ETDA:Reaper", "tools": [ "Agentemis", "BLUELIGHT", "Backdoor.APT.POORAIM", "CARROTBALL", "CARROTBAT", "CORALDECK", "Cobalt Strike", "CobaltStrike", "DOGCALL", "Erebus", "Exploit.APT.RICECURRY", "Final1stSpy", "Freenki Loader", "GELCAPSULE", "GOLDBACKDOOR", "GreezeBackdoor", "HAPPYWORK", "JinhoSpy", "KARAE", "KevDroid", "Konni", "MILKDROP", "N1stAgent", "NavRAT", "Nokki", "Oceansalt", "POORAIM", "PoohMilk", "PoohMilk Loader", "RICECURRY", "RUHAPPY", "RokRAT", "SHUTTERSPEED", "SLOWDRIFT", "SOUNDWAVE", "SYSCON", "Sanny", "ScarCruft", "StarCruft", "Syscon", "VeilShell", "WINERACK", "ZUMKONG", "cobeacon" ], "source_id": "ETDA", "reports": null } ], "ts_created_at": 1775434911, "ts_updated_at": 1775792286, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/1a44c392d179a7603712202f2784c38ec10dce31.pdf", "text": "https://archive.orkl.eu/1a44c392d179a7603712202f2784c38ec10dce31.txt", "img": "https://archive.orkl.eu/1a44c392d179a7603712202f2784c38ec10dce31.jpg" } }