뉴크스페드(NukeSped) - 원격 접근 트로이목마(RAT) - 피해자 시스템에 대한 원격 관리 가능 - 샘플 대부분(70%)이 한국어로 구성 - 북한 해커들이 사용해온 폴칠(멀웨어 행위)이나 홉라이트(암호화 기술)와 비슷 - 북한 해킹 그룹 라자루스와 관련 있는 것으로 추정. 뉴크스페드 특징 - 동적으로 기능들을 발휘 - API 이름들도 암호화. 정적 분석을 회피하기 위한 수단 - 공격 지속성을 확보하기 위해 Run 레지스트리 키에 자신을 삽입 뉴크스페드 기능 - 감염된 호스트에 대한 관리 및 접근 권한을 원격에 있는 공격자에게 부여 - 추가 페이로드를 확보해 실행 시키고, 자기 자신을 포함한 여러가지 흔적들을 삭제 뉴크스페드 행위 1) 다른 사용자의 프로세스를 생성 2) 폴더 내 파일들을 반복적으로..
