안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 2020년 하반기에 들어서면서 HWP 문서파일 공격기법에 변화가 감지되고 있습니다. 기존에 많이 쓰이던 포스트스크립트(PostScript) 방식에서 오브젝트 연결 삽입(OLE) 방식으로 변화되고 있습니다. 참고로 OLE란 'Object Linking and Embedding' 약자로서 객체 연결 및 삽입을 뜻하는데, 한컴에서는 대신 라는 표현을 사용합니다. 그리고 복합 파일 이진 형식(CFBF : Compound File Binary Format)이라고도 불립니다. ESRC는 2020년 12월 위협 행위자가 사용한 대표적 사례를 심층적으로 기술해 보고자 합니다. 1. 초기 침투 과정 요약 □ 1단계 : 궁금증을 유발하는 이메일을 전달 대부분의..

악성코드 분석 리포트 2020. 12. 16. 00:34

안녕하세요. 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 최근 ‘탈륨’과 ‘금성121'등 북한 연계 조직의 소행으로 추정되는 APT 공격이 연이어 발견되고 있어 주의가 필요합니다. 이번에 새롭게 발견된 APT 공격은 통일부 사칭 악성 이메일 공격과 평화 통일 관련 이야기 공모전 신청서를 사칭한 악성 HWP 문서 공격입니다. [그림] 통일부 자료 사칭 이메일과 통일 관련 공모전 신청서 사칭 HWP 파일 먼저 통일부 사칭 공격은 악성 문서 파일을 첨부한 이메일을 발송해 수신자가 파일을 열어보도록 현혹하는 전형적인 스피어피싱 공격처럼 보이지만 실제로는 첨부파일이 아닌 악성 링크를 활용한 공격입니다. 공격자가 발송한 이메일 본문에는 통일부에서 정식 발행한 것처럼 정교하게 조작된 문서 첫 장의 이미지가 삽입되..

악성코드 분석 리포트 2020. 12. 9. 13:41

안녕하세요? 이스트시큐리티입니다. 오늘은 정보보호의 최전방, 이스트시큐리티 시큐리티대응센터(ESRC)를 이끄는 문종현 센터장(이사)과 한 언론매체의 인터뷰 내용을 소개해 드리겠습니다. 국가 사이버안보 분야에서 20년 넘게 연구해 온 문종현 센터장은 인터뷰를 통해 세계가 디지털화되면서 편의성은 높아지는 반면 위험성도 함께 높아지고 있다고 말했습니다. 문 센터장은 현재 ▲KISA 사이버위협 인텔리전스 소속위원 ▲국가정보원 NCSC 침해사고대응 전문가그룹 자문위원 ▲국방부 사이버작전사령부 자문위원 ▲경찰청 사이버안전국/보안국 자문위원 ▲과기정통부 사이버보안전문단 등으로 활발히 활동하고 있으며, 대한민국 사회 전반의 사이버 보안 강화에 기여한 공로를 인정받아 정보보호 유공 국무총리 표창 수상 등 다수의 정부 표..

이스트시큐리티 소식/알약人 이야기 2020. 6. 12. 10:57

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 특정 정부가 연계된 것으로 알려진 사이버 위협 그룹 일명 ‘금성121(Geumseong121)’ 해커들이 새로운 공격 시나리오로 APT(지능형지속위협) 공격을 시도한 정황이 포착되어 주의가 요구됩니다. 금성121 그룹은 최근까지 다양한 해킹 사례의 배후로 지목되고 있으며, 라자루스(Lazarus), 김수키(Kimsuky), 코니(Konni) 등과 함께 대한민국을 주무대로 활동하는 대표적인 위협 조직 중 하나입니다. 최근 포착된 APT공격에서는 이들은 통일정책 분야의 연구원으로 변장해 공격 대상의 스마트폰 전화번호 등 개인정보를 1차 수집하고 일정 기간 후 상대방과 성별이 다른 카카오톡 프로필을 만들어 해킹을 시도하고 있음이 확인되었습니다...

악성코드 분석 리포트 2020. 5. 8. 14:04

'오퍼레이션 스파이 클라우드(Operation Spy Cloud)' APT 공격 배경 안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 2020년 03월 초, 일명 '금성121(Geumseong121)'로 명명된 국가차원의 APT(지능형지속위협) 그룹의 새로운 공격 정황이 포착되었습니다. 이들은 대한민국 사이버 공간을 주요 거점지로 삼아 다양한 스파이 활동을 수행하고 있으며, 주로 외교·통일·안보분야 종사자나 대북관련 단체장, 탈북민을 겨냥한 위협을 가속화하고 있습니다. ESRC에서는 알약(ALYac) 포함 다채널 위협 인텔리전스 센서를 통해 수집된 각종지표와 증거를 기반으로 이번 침해공격 실체를 분석하였습니다. 작년 11월 '금성121, 북한 이탈주민 후원 사칭 '드래곤 메신저' 모바일 A..

악성코드 분석 리포트 2020. 3. 30. 16:33

■ '드래곤 메신저(Dragon Messenger)' APT 작전 배경 안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. ESRC에서는 '금성121(Geumseong121)' APT 공격조직이 진행한 은밀한 모바일 APT 공격정황을 포착했습니다. 또한, 북한 이탈주민 후원 모금 서비스로 위장한 사이트를 개설해 악성앱(APK)을 유포한 사실도 드러났습니다. 해당 웹사이트는 워드프레스 기반으로 제작되었고, 도메인은 2019년 08월 23일 생성되어 10월 22일 업데이트된 것으로 조회됩니다. 지난 09월 11일부터 표시된 스냅샷을 타임라인으로 확인해 보면 타이틀에 북한 이탈주민 모금운동 사이트로 소개한 것을 알 수 있고, 10월에는 안드로이드 앱 설치 링크(구글 플레이)가 추가됩니다. 마치 ..

악성코드 분석 리포트 2019. 11. 11. 13:28

■ '금성121' 스테가노그래피 결합 멀티플랫폼 공격 안녕하세요?이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 탈북민 지원 분야 대상자를 겨냥한 것으로 추정되는 복합적 APT공격이 국내에서 포착되었습니다. 이번 공격의 특징은 윈도우즈(Windows) 운영체제 및 안드로이드(Android) 스마트폰을 동시에 퓨전으로 노렸다는 점이며, ESRC는 위협배후에 '금성121(Geumseong121)' 해킹그룹이 조직적으로 가담 중임을 확신하고 있습니다. 특히, 공격자는 JPG 이미지 파일로 위장해 악성코드를 은밀하게 삽입하는 이른바 '스테가노그래피(Steganography)' 기법을 활용했습니다. ■ 갈수록 교묘해지는 스피어 피싱(Spear Phishing) 공격 기법 공격자는 악성코드를 타깃에게 전..

악성코드 분석 리포트 2019. 8. 5. 11:47

■ 라자루스 위장술 처음 도입된 '오퍼레이션 이미테이션 게임' 안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 특정 국가차원의 명령을 받아 은밀하게 진행되는 APT(지능형지속위협) 캠페인이 다양하게 발견되고 있는 가운데, 매우 흥미로운 스피어 피싱(Spear Phishing) 공격 사례를 포착하였습니다. ESRC는 한국을 주요 공격대상으로 삼고 있는 APT 위협배후 중 '금성121(Geumseong121)' 조직이 마치 '라자루스(Lazarus)' 조직인 것처럼 위장한 교란 전술(False Flag) 흔적을 식별했습니다. 정부후원을 받는 각기 구분된 2개의 유명 해킹조직 '라자루스', '금성121'을 관찰하던 중 '금성121' 조직에서 상대 그룹 전술을 차용해 조작한 사례를 발견했..

악성코드 분석 리포트 2019. 8. 3. 00:18