S2W의 위협 인텔리전스센터 탈론(TALON)이 분석한 북한 배후 공격 그룹 puNK 중 puNK-003가 유포한 Lilith RAT 악성코드에 대한 상세 분석 보고서를 발행했습니다. S2W 분석가가 별도 관리하고 있는 위협 그룹 분류 체계(아래 표 1 참조)에 의거해 외부 공개하는 첫 보고서 사례입니다. 

✅ 보고서 제목:

Threat Tracking: Analysis of puNK-003’s Lilith RAT ported to AutoIt Script

*puNK: partially unidentified North Korean threat actor

✅ 보고서 내용:

📌 탈세 제보와 관련된 소명 자료 목록 위장 악성코드(LNK)

2024년 4월 24일, S2W의 위협 연구 및 인텔리전스 센터 TALON은 탈세 제보와 관련된 소명 자료 목록으로 위장한 LNK 악성코드를 발견하여 분석을 진행했습니다.

발견된 LNK 파일은 실행 시 파일 내부에 포함된 Decoy 문서를 드랍 및 출력하고, 하드코딩된 공격자 서버로부터 추가 파일을 다운로드 받아 실행합니다. 다운로드된 파일은 악성 AutoIt 스크립트 파일과 이를 실행하기 위한 정상 AutoIt3 실행 파일로, 최종적으로는 AutoIt 스크립트로 재구현된 Lilith RAT 악성코드가 실행됩니다.

📌 악성코드 분석을 통한 공격 그룹 유추 (KONNI 그룹과의 비교)

이번에 발견된 LNK 악성코드는 실행 인자에 포함된 PowerShell 명령어의 구성과 추가로 다운로드된 파일이 모두 AutoIt 스크립트로 재구현된 악성코드라는 점에서 북한 배후의 공격 그룹인 KONNI 그룹의 특징을 보입니다.

그러나 이번에 발견된 악성코드와 KONNI 그룹의 LNK 악성코드는 실행 목적에서 차이점이 존재하며, 전자는 Downloader의 역할을, 후자는 Dropper 기능을 수행합니다. 또한, 이번 공격 캠페인에서는 KONNI 그룹이 주로 사용하는 VBS 및 BAT 스크립트 유형의 악성코드가 사용되지 않았다는 점 역시 가장 큰 차이로 나타납니다. 이러한 차이점들을 바탕으로 S2W TALON은 두 공격 그룹을 별도로 구분하였습니다.

📌 북한 배후공격 그룹 puNK 추적 

TALON은 식별되지 않은 위협 그룹에 대해서 별도 관리하고 있고, 그중 북한 배후공격 그룹은 puNK라는 이름으로 관리 및 추적하고 있습니다. TALON에서 추적하고있는 puNK 그룹의 목록은 표 1과 같습니다.

해당 악성코드를 유포한 배후는 puNK-003로 명명하였으며, 추가로 이들이 사용하는 Downloader 역할의 LNK 악성코드는 CURKON으로 명명했습니다.

아래 테크 블로그 링크를 통해 보고서 전문 읽기가 가능하십니다. 링크의 내용에서는 puNK-003 그룹의 공격 흐름 및 악성코드 기능과 KONNI 그룹과의 연관성을 상세 설명합니다.

🧑‍💻보고서 작성자: S2W TALON 김지호 분석가 

👉 보고서 전문 보기: https://bit.ly/3yKzuFn