안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 한국을 공격 대상으로 활동하는 대표적인 APT 그룹인, 라자루스(Lazarus), 김수키(Kimsuky), 금성121(Geumseong121) 조직의 움직임이 최근 연속적으로 발생하고 있습니다. 금일, '금성121' 조직이 정치·통일·안보 관련 분야를 겨냥한 공격이 포착된 것에 이어 '라자루스' 그룹으로 분류된 APT 캠페인도 식별되었습니다. '라자루스' 시리즈로 수행된 공격은 얼마전 있었던 【라자루스(Lazarus) APT 조직, 텔레그램 메신저로 '진실겜.xls' 악성 파일 공격】 사례와 마찬가지로 암호화폐 거래 관계자를 노렸습니다. 이번 공격은 2019년 06월 27일 오전 10시경부터 여러 사람들에게 유포되었고, 일부는 과거 특정 ..

악성코드 분석 리포트 2019. 7. 2. 21:59

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2019년 07월 02일 안보관련 연구위원이 작성한 문서처럼 사칭해 APT(지능형지속위협) 공격이 수행된 정황을 포착했습니다. 공격자는 한국의 특정 연구원 안보통일센터로 사칭해 스피어피싱(Spear Phishing) 공격을 시도했으며, 이메일에 악성 문서를 압축 첨부하여 전송하였습니다. 압축 파일 내부에는 3개의 HWP 문서가 포함되어 있었고, 1개의 문서가 악성 기능을 수행합니다. [악성파일]- 190701 (현안보고 2019-07) 北의 우리당에 대한 정치공작과 대책.hwp [정상파일]- 190701대북동향 보고.hwp- 190702대북동향 보고.hwp ESRC는 이 공격의 배후가 특정 정부의 후원을 받고 있는 해킹조직 일명 '금성12..

악성코드 분석 리포트 2019. 7. 2. 19:30

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2019년 06월 14일 제17기 북한선교학교 신청서 문서로 위장한 APT 공격 정황이 포착되었습니다. ESRC에서는 해당 공격이 특정 정부의 후원을 받는 해킹조직 '금성121' 소행으로 분석을 완료한 상태입니다. File Name MD5 **_제17기 북한선교학교 신청서.hwp (이름 * 표시) eb4384dbdac5f5177533714551bf16e2 해당 문서는 2019년 06월 12일에 마지막으로 수정되었으며, 작성자와 마지막 수정이는 다음과 같습니다. 'User1' 계정은 '금성121' 조직의 APT 공격에서 여러차례 식별된 바 있습니다. Author Last Saved By 네이버 한글캠페인 User1 - 금성121 조직, 학술..

악성코드 분석 리포트 2019. 6. 15. 02:07

■ 학술회의 프로그램을 위장한 APT 공격 등장 안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2019년 04월 10일 제작된 새로운 HWP 악성 문서파일이 발견되었고, 정부 후원을 받고 있는 '금성121(Geumseong121)'이 위협 배후에 있는 것으로 확인되었습니다. ESRC에서는 이번 APT(지능형지속위협) 공격이 지난 4월 경 은밀하게 수행됐을 것으로 의심하고 있으며, 식별된 악성 파일의 이름은 '[한국정치학회] 춘계학술회의 프로그램.hwp' 입니다. [그림 1] HWP 악성 문서 파일의 내부 스트림 화면 ■ 금성121, 매우 활발한 사이버 스파이 위협 조직 'BIN0001.eps' 파일 내부에는 다음과 같은 포스트 스크립트(Post Script) 코드가 포함되어 있으며, ..

악성코드 분석 리포트 2019. 5. 2. 16:37

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 지난 2019년 04월 22일 마치 한국의 통일부에서 배포한 보도자료 해명자료처럼 둔갑한 스피어 피싱(Spear Phishing) 공격 정황이 포착되었습니다. ESRC에서는 해당 공격이 2018년 중순 발견되었던 통일부 사칭 사례와 일치함을 확인하였습니다. ■ '오퍼레이션 페이크 뉴스(Operation Fake News)' 명명 2018년 6월부터 7월까지 유사한 공격이 지속적으로 보고되었고, 모두 통일부를 사칭한 공통점이 존재합니다. 저희는 "금성121 그룹의 남북이산가족찾기 전수조사 사칭 이메일 주의" 내용으로 동일 공격그룹의 실제 사례들을 공개한 바 있습니다. [그림 1] 통일부 보도자료 해명 자료로 위장한 이메일 화면 File Na..

악성코드 분석 리포트 2019. 4. 22. 20:55

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 얼마전 2019년 03월 20일 "로켓맨 APT 캠페인, 오퍼레이션 골든 버드(Operation Golden Bird)" 리포트를 통해 '금성121(Geumseong121)' 조직이 HWP 문서기반 이력서를 사칭해 수행한 APT 공격 사례를 공개했습니다. 그리고 지난 01월 23일에는 "홀리데이 와이퍼(Operation Holiday Wiper)로 귀환한 로켓맨 APT 캠페인" 제목으로 이들이 XLS 문서파일을 활용한 스피어 피싱(Spear Phishing) 사례와 데이터 삭제 시도 정황도 포착한 바 있습니다. ESRC에서는 이들이 사이버 주무기로 활용한 공격벡터와 휴먼 인텔리전스에 주목하고 있으며, 그동안 알려지지 않았던 몇 가지 공격..

악성코드 분석 리포트 2019. 4. 2. 09:29

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. 작년 12월 카카오톡을 통한 피싱 공격이 이루어 지고 있다는 언론의 보도가 있었습니다. 해당 공격은 탈북자를 대상으로 앱을 직접 전달하거나 구글 플레이스토어의 설치 페이지를 알려 주어 앱을 설치하도록 유도하는 피싱 공격이었습니다. 이렇게 설치되는 앱은 피해자의 사생활 정보를 탈취하는 스파이앱으로 밝혀졌습니다. 발견된 스파이앱을 제작한 공격주체는 “금성121”이라는 단체로 추정되며 한국을 대상으로 지속적인 사이버공격을 하고 있는 단체입니다. 금성121의 공격 대상 장비는 서버나 PC였으나 이번 스파이앱의 발견으로 모바일 영역까지 확대한 것을 알 수 있습니다. 그리고 금성121의 공격 대상은 군이..

악성코드 분석 리포트 2018. 12. 13. 16:53

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 특정 정부가 배후에 있는 것으로 알려져 있는 위협그룹 중에 '금성121(Geumseong121)' 조직은 글로벌 보안회사들이 다양한 이름으로 명명하고 있습니다. 그중 대표적 그룹명을 알파벳 순으로 나열하면 'APT37', 'Group123', 'RedEyes', 'ScarCruft' 등이 있습니다. 지난 02월 저희는 이 위협그룹이 카카오톡 메신저로 'Flash Player Zero-day (CVE-2018-4878)' 취약점 공격을 수행한 사례를 소개한 바 있으며, 그 이후에도 스피어 피싱(Spear Phishing)을 통해 한국에 집중 표적공격을 수행하고 있다는 것을 확인했습니다. 그리고 0..

악성코드 분석 리포트 2018. 11. 16. 15:45