본 보고서는 TTPs#3으로 지칭되는 사이버 위협 행위자의 악성코드 활용 전략을 분석한 자료로, 지능화된 공격에 대비하기 위한 보안 대응력 강화를 목적으로 한다. 공격자는 MITRE ATT&CK 프레임워크를 기반으로 Execution(악성코드 실행), Persistence(지속성 유지), Privilege Escalation(권한 상승), Defense Evasion(방어 회피) 등 다양한 전술과 기술을 사용해 조직 내부에 침투하고 시스템을 장악한다. 주로 정부 및 공공기관, 산업계를 목표로 하며 악성코드를 자동 실행하거나 정상 파일로 위장해 실행한다. 재부팅 후에도 지속 작동하도록 Persistence를 확보하며, 권한 상승을 위해 취약점과 인증 우회 기법을 활용하고 난독화 등 방어 회피 기법을 동원한다. 공격자는 Credential Access(계정정보 접근) 수단인 키로깅과 메모리 덤프로 계정 정보를 탈취하고, Discovery(탐색)를 통해 네트워크 구조와 보안 설정을 파악한다. 확보한 자격 증명으로 Lateral Movement(내부 이동)를 수행하며 민감 정보와 인증 자료를 수집(Collection)한다. 수집된 데이터는 Command and Control(명령제어) 서버와 암호화된 통신으로 주고받고, Exfiltration(정보 유출) 단계에서 압축·암호화하여 외부로 유출한다. TTPs#3 공격자는 은밀하고 고도화된 전략으로 내부망에 장기간 은닉하며 정보 탈취를 시도한다. 따라서 다계층 방어체계와 위협 인텔리전스 기반 대응 체계 구축이 필수적이다. 본 분석은 유사 침해사고 예방과 대응에 유용한 참고자료로 활용될 수 있다. This report analyzes the malware utilization strategies of cyber threat actors referred to as TTPs#3, and aims to strengthen security response capabilities to prepare for sophisticated attacks. Attackers use various tactics and techniques such as Execution, Persistence, Privilege Escalation, and Defense Evasion based on the MITRE ATT&CK framework to infiltrate organizations and take control of systems. They mainly target governments, public institutions, and industries, and automatically execute malware or disguise it as a normal file. They secure persistence so that it continues to operate even after rebooting, and they utilize vulnerabilities and authentication bypass techniques for privilege escalation and employ defense evasion techniques such as obfuscation. Attackers steal account information through keylogging and memory dumps, which are Credential Access (account information access) methods, and identify network structures and security settings through Discovery (exploration). They perform Lateral Movement (internal movement) with the acquired credentials and collect sensitive information and authentication data. The collected data is exchanged with the Command and Control server through encrypted communication, and is compressed and encrypted and leaked externally during the Exfiltration stage. TTPs#3 Attackers attempt to steal information by hiding in the internal network for a long period of time with a secret and advanced strategy. Therefore, it is essential to build a multi-layered defense system and a threat intelligence-based response system. This analysis can be used as useful reference material for preventing and responding to similar breach incidents. 한국인터넷진흥원_TTPs3 공격자의 악성코드 활용 전략 분석 Korea Internet & Security Agency_TTPs3 Attacker's Malicious Code Utilization Strategy Analysis 2022-05-18 2025-07-16 한국인터넷진흥원 AX혁신팀 과학기술 - 과학기술연구 보안,정보보호,악성코드,공격전술기법,위협행위자,사이버공격분석 security,Information Protection,Malware,Attack tactics,Threat actor,Cyber attack analysis 이용허락범위 제한 없음 수시