안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 2019년 08월 13일 제작된 신규 악성 HWP 문서가 발견되었는데, 이번에는 국세청 관련 문서처럼 사칭한 공격이었습니다. 해당 악성코드를 조사해 본 결과, 지난 6월부터 7월까지 국내에서 지속적으로 발견되고 있는 '무비 코인(Movie Coin)' 시리즈로 분석되었습니다. 제목 마지막 저장시간 (UTC) 마지막 저장자 MD5 별지 제172호 서식 2019-08-13 02:32:05 User 7bece42a704800a6686cad43d3f5ee62 라자루스(Lazarus) APT 그룹의 오퍼레이션 '무비 코인' 시리즈 관련 글은 아래와 같고, 지난 6월부터 8월까지 지속적인 활동이 포착되고 있습니다. 이번까지 총 7번째 리포팅이 진행..

악성코드 분석 리포트 2019. 8. 20. 15:01

■ 라자루스 위장술 처음 도입된 '오퍼레이션 이미테이션 게임' 안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 특정 국가차원의 명령을 받아 은밀하게 진행되는 APT(지능형지속위협) 캠페인이 다양하게 발견되고 있는 가운데, 매우 흥미로운 스피어 피싱(Spear Phishing) 공격 사례를 포착하였습니다. ESRC는 한국을 주요 공격대상으로 삼고 있는 APT 위협배후 중 '금성121(Geumseong121)' 조직이 마치 '라자루스(Lazarus)' 조직인 것처럼 위장한 교란 전술(False Flag) 흔적을 식별했습니다. 정부후원을 받는 각기 구분된 2개의 유명 해킹조직 '라자루스', '금성121'을 관찰하던 중 '금성121' 조직에서 상대 그룹 전술을 차용해 조작한 사례를 발견했..

악성코드 분석 리포트 2019. 8. 3. 00:18

암호화폐 거래소 회원 겨냥한 해킹 이메일 공격 지속… ‘라자루스’ 조직 소행 추정 안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. ESRC는 19일, 국내 특정 암호화폐 거래소 회원들을 대상으로 한 이메일 해킹 공격 시도가 지속적으로 포착되고 있음을 발견했습니다. [그림 1] 스피어 피싱 공격에 사용된 이메일 화면 File Name MD5 제복인 경찰대학 예상 문제 3회.hwp c577849fed8f815ffb53163976aca001 회장님 개명.hwp cadd2b04166499db6065128f4dc97c39 중고폰매각 공고문_19년 7차.hwp 7d1d7ffee0e2f2778dc6e941bcafbd08 이 이메일 해킹 공격은 지난 6월 경부터 국내에서 지속적으로 발생하고 있으며, ..

악성코드 분석 리포트 2019. 7. 19. 11:49

안녕하세요?이스트시큐리티 시큐리티대응센터 (이하 ESRC)입니다. 정부후원을 받는 대표적인 해킹조직 중 하나인 라자루스(Lazarus) 그룹의 활동이 계속 포착되는 가운데, 금일 새로운 악성 HWP 문서가 추가로 발견되었습니다. 이번 문서의 파일명은 '(필수)외주직원 신상명세서.hwp' 이며, 제작날짜는 2019년 07월 12일입니다.문서종류를 보아 특정 기업의 외주직원 관계자를 겨냥한 것이 아닌가 의심됩니다. 더불어 지난 주 보고했던 '시스템 포팅 계약서(수정).hwp' 악성파일과 거의 동일한 시점에 제작이 되었고, 내부 공격코드나 명령제어(C2) 서버가 동일합니다. 그리고 '투자계약서_20190619.hwp' 공격 코드와도 거의 유사하지만, 코드 난독화를 한단계 더 추가한 특징이 있습니다. ▶ 라자루..

악성코드 분석 리포트 2019. 7. 15. 16:54

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 2019년 07월 12일, 정부 지원을 받는 해킹 조직으로 널리 알려진 이른바 '라자루스(Lazarus)' APT 조직이 HWP 취약점 문서 파일을 활용해 공격을 수행한 정황이 포착되었습니다. [그림 1] HWP 취약점 문서 파일 전반적으로 지난 6월 20일에 라자루스(Lazarus) APT 조직에 의해 수행된 '오퍼레이션 무비 코인'과 유사도가 높습니다. ▶ 라자루스(Lazarus) APT 그룹, 암호화폐 투자계약서 사칭 무비 코인 작전 (2019.06.20) '시스템 포팅 명세서.hwp' 파일명으로 발견된 악성 파일은 07월 11일 오전 11시 20분경 제작된 것으로 추정되며, 고스트 스크립트 모듈의 취약점으로 쉘코드에서 동작해서 봇..

악성코드 분석 리포트 2019. 7. 12. 16:04

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 한국을 공격 대상으로 활동하는 대표적인 APT 그룹인, 라자루스(Lazarus), 김수키(Kimsuky), 금성121(Geumseong121) 조직의 움직임이 최근 연속적으로 발생하고 있습니다. 금일, '금성121' 조직이 정치·통일·안보 관련 분야를 겨냥한 공격이 포착된 것에 이어 '라자루스' 그룹으로 분류된 APT 캠페인도 식별되었습니다. '라자루스' 시리즈로 수행된 공격은 얼마전 있었던 【라자루스(Lazarus) APT 조직, 텔레그램 메신저로 '진실겜.xls' 악성 파일 공격】 사례와 마찬가지로 암호화폐 거래 관계자를 노렸습니다. 이번 공격은 2019년 06월 27일 오전 10시경부터 여러 사람들에게 유포되었고, 일부는 과거 특정 ..

악성코드 분석 리포트 2019. 7. 2. 21:59

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2019년 06월 10일경 ESRC에서는 자체 보안 모니터링 시스템을 통해, '진실겜.xls' 파일명의 악성 문서 파일을 발견했습니다. File Name MD5 진실겜.xls 64edec1d585ba599354f927249e12e6d 내부 조사결과 라자루스(Lazarus) APT 조직이 배후에 있는 것으로 확인되었습니다. 며칠 전 '라자루스(Lazarus) APT 그룹, 암호화폐 투자계약서 사칭 무비 코인 작전'을 공개한 바 있는데, 최근 비트코인의 시세가 1,500만원을 돌파하면서 특정 정부의 후원을 받는 해킹 조직의 활동이 증가하고 있어 각별한 주의가 필요합니다. 탐지 내역 C:\Users\Bit****\Downloads\Telegra..

악성코드 분석 리포트 2019. 6. 27. 10:59

■ 라자루스, 무비 코인 작전으로 한국 맞춤형 APT 공격 안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 2019년 06월 20일, 정부 지원을 받는 해킹 조직으로 널리 알려진 이른바 '라자루스(Lazarus)' APT 조직이 HWP 취약점 문서 파일을 활용해 공격을 수행한 정황이 포착되었습니다. '투자계약서_20190619.hwp' 파일명으로 발견된 악성 파일은 06월 19일 제작된 것으로 분석됐으며, 취약점에 의해 설치되는 최종 악성 DLL 모듈은 '2019년 06월 18일 21시 03분 경에 만들어졌습니다. 문서 파일 내부에는 'BIN0001.PS' 포스트 스크립트 파일이 포함되어 있습니다. [그림 1] 악성 포스트 스크립트 코드 화면 포스트 스크립트 코드에는 [D0 7F 2B..

악성코드 분석 리포트 2019. 6. 20. 23:49