본문 바로가기

APT24

정상 문서 파일로 위장한 악성 코드 유포 (Kimsuky 그룹) ASEC 분석팀은 지난 8월 20일부터 Kimsuky 그룹의 공격 정황을 다수 확인하였다. 파일명에 docx, pdf, txt 등 문서 확장자를 포함한 정상 파일로 위장하여 유포 중이며, 해당 악성코드는 정상 파일 드롭 및 실행, 감염 PC 정보 탈취, 추가 악성코드 다운로드를 수행한다. 해당 방식은 Kimsuky 그룹이 자주 사용하는 위장 방식과 동작 방식으로 국내 정부기관, 대학 교수 등을 대상으로 하는 APT 공격에 사용된다. 유포 파일명 유포 날짜 유포 파일명 2020/08/20 4.[아태연구]논문투고규정.docx.exe 2020/08/26 Button01_[2020 서울안보대화] 모시는 글.pdf.exe 2020/09/03 [양식] 개인정보이용동의서.txt.exe 해당 악성코드 유형은 리소스 영.. 2020. 9. 4.
Lazarus 그룹의 방위산업체 대상 공격 증가 Lazarus 그룹의 방위산업체 대상 공격이 지난달부터 증가하고 있다. 공격은 Microsoft Office Word 프로그램의 Office Open XML 타입의 워드 문서 파일을 이용하였다. (샘플 출처: 해외 트위터) Senior_Design_Engineer.docx - 영국 BAE 시스템즈 (5월 접수) Boeing_DSS_SE.docx - 미국 Boeing (5월 접수) US-ROK Relations and Diplomatic Security.docx - 국내 ROK (4월 접수) 문서 파일은 공통으로 외부 External 주소에 접속하여 추가 문서 파일(*.dotm, Word Macro-Enabled Template)을 다운받는다. 다운된 추가 문서 파일은 특정 패턴의 VBA 매크로 코드로 악.. 2020. 5. 8.
신천지 비상연락처 위장한 Bisonal 악성코드 유포 중 (2020.03.05) ASEC분석팀은 현재 우리나라에서 이슈가 되고있는 신천지 관련 악성코드가 유포된 것을 확인하였다. 유포 파일명은 xlsx 엑셀 또는 ppt 파워포인트 문서 파일로 보이지만, 유니코드 RLO(Right to Left Override) 방식을 이용하여 파일 확장자를 다른 형태로 보이도록 하였다. 실제 악성 파일은 *.scr 파일이다. 유니코드 RLO 변조 유포 악성 파일 신천지예수교회비상연락처(1).Rcs.xlsx 신천지예수교 증거장막성전 총회본부 홍보부 언론홍보과 보좌 조직RCS.ppt - 신천지예수교회비상연락처(1).xlsx - 신천지예수교 증거장막성전 총회본부 홍보부 언론홍보과 보좌 조직.ppt 분석 내용은 엑셀 파일을 기준으로 작성한다. 파일 실행 시 위와 같이 정상 엑셀파일을 함께 실행하여 사용자 .. 2020. 3. 5.
[주의] 한글문서 악성코드 동작방식 변화 (시작프로그램 등록) 안랩 ASEC 분석팀에서는 11월 18일 아래의 ASEC블로그를 통해 한글 문서파일 악성코드 실행 시, VBS 스크립트 파일을 시작 프로그램에 등록하여 재부팅 시점에 악성행위가 수행하는 동작방식을 소개하였다. 현재 이러한 형태의 공격방식이 다양한 고객사에서 널리 확산되고 있으며, 공격자도 V3 탐지를 우회하기 위해 다양한 변종(*.VBS, *.VBE, *.JS, *.WSF)을 제작하고 테스트하는 것으로 확인되었다. 한글문서 실행 시, 시작 프로그램에 등록된 파일이 존재할 경우 의심스러운 문서로 추정할 수 있다. 2019.11.18 '한국국가정보학회 학회장 선거공고' 내용의 악성 HWP 유포 '한국국가정보학회 학회장 선거공고' 내용의 악성 HWP 유포 안랩 ASEC 분석팀은 "제 9대 학회장 선거공고 및 .. 2019. 11. 22.
포털 사이트의 보안 프로그램으로 위장한 악성코드 주의 안랩에서는 최근 특정 국가의 지원을 받는 조직의 지능형 지속 공격 활동을 포착하여 이를 알아보고자 한다. [지능형 지속 공격(Advanced Persistent Threat, APT)] 장기간에 걸쳐 다양한 공격 기법을 활용해 피해자 몰래 주요 정보를 유출하고 시스템을 무력화하는 공격 발견된 위장 프로그램은 국내 유명 포털 사이트로 위장한 피싱 페이지를 통해 유포된다. 피싱 페이지는 접속한 웹 브라우저의 사용자 에이전트(User-Agent)에 따라 PC 버전과 모바일 버전으로 출력되며 공격 대상에게 보안 프로그램 또는 앱으로 위장한 악성코드의 다운로드를 유도한다. [피싱(Phishing)] 교묘하게 만들어낸 가짜정보를 미끼로 피해자의 정보를 탈취하는 공격 [User-Agent] [다운로드 파일] Wind.. 2019. 11. 18.
Operation Moneyholic With HWP Document 안랩에서는 지난 8월 암호화폐 거래소와 이용자를 대상으로한 공격활동을 분석한 오퍼레이션 머니홀릭(Operation Moneyholic) 보고서를 발행했다. 오퍼레이션 머니홀릭(Operation Moenyholic) 조직은 해외에서 코니(KONNI)로 잘 알려져 있다. 최근 오퍼레이션 머니홀릭(Operation Moenyholic) 조직이 악성코드 유포를 위해 사용한 HWP 파일이 발견되어 이를 알아보고자 한다. [HWP Document] 한글과컴퓨터의 프로그램인 한글에서 사용하는 파일 형식으로 한글 문서 또는 HWP(Hangul Word Processor)라 불림 [스피어 피싱(Spear Phishing)] 특정인 또는 특정 조직을 대상으로한 맞춤형 공격 공격 대상의 사전조사 내용을 토대로하여 신뢰할 수.. 2019. 9. 19.
SafeSvcInstall, 4년 째 공격 시도 중 보통 APT (Advanced Persistent Threat)로 분류되는 위협은 지속적인 공격을 특징으로 꼽는다. 하지만, 공격자가 지속적으로 매번 새로운 공격 방식을 사용하는 경우는 드물다. 공격에 이용하는 악성코드 역시 보통 자신들의 악성코드를 조금씩 바꿔 공격에 이용한다. 이 글에서 언급한 Backdoor/Win32.Etso 변형도 예외가 아니다. 2014년 9월 표적공격(targeted attack)으로 추정되는 백도어 샘플을 분석하던 중 유사 악성코드를 이용한 공격이 2011년부터 진행되었음을 확인했다. 2011년 MS 워드 문서 취약점 (CVE-2010-3333)을 이용한 공격이 있었다. 취약점이 존재하는 MS 워드로 해당 RTF 파일을 열어보면 중국어를 포함한 문서 내용이 열린다. 취약점을.. 2014. 9. 19.
2014년 예상 7대 보안 위협 트렌드 발표 - 악성코드와 공격기법의 고도화, 국가간 사이버보안 위협 증대, 침투경로의 다양화 등 사이버 공격이 더욱 교묘해지고 심화될 것으로 예측 안랩[대표 권치중, www.ahnlab.com]은 ‘2014년 예상 7대 보안 위협 트렌드’를 발표했다. 이에 따르면 2014년 예상되는 주요 이슈는 ►APT방식의 악성코드 고도화와 표적[target] 확대 ► 전자금융사기와 사이버범죄의 산업화 가속 ►악성코드 유포 방법의 다양화 및 고도화 지속 ►윈도XP 지원 종료에 따른 보안 위협 증가 ►특정 표적을 노린 소규모 모바일 악성코드 ►사이버 보안에 대한 국가적 인식 변화 ►펌웨어 업데이트에 악성코드 포함 시도 증가 등이다. 1] APT방식의 악성코드 고도화와 표적[target] 확대2013년까지 기업이나 기관 등 특정 표.. 2014. 1. 10.