North Korean Hackers Use ELECTRICFISH Malware to Steal Data 미 연방 수사국(FBI)과 미 국토안보부(DHS)가 북한 APT 그룹인 라자루스(Lazarus)에 대한 분석 보고서를 발행했습니다. 발표된 분석 보고서에는 피해자들로부터 데이터를 추출하는 악성코드인 ELECTRICFISH에 대한 내용이 포함되어 있습니다. US-CERT 사이트에 공개된 MAR AR19-129A에 따르면, 이 악성코드는 북한 해킹 그룹인 히든 코브라(HIDDEN COBRA)의 악성 행위를 추적하던 중 발견되었습니다. HIDDEN COBRA는 Lazarus, Guardians of Peace, ZINC, NICKET ACADEMY로도 알려져 있습니다. MAR-10135536-21 악성코..

국내외 보안동향 2019. 5. 13. 09:41

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 2019년 03월 26일(현지시간) 이스라엘의 하레츠 매체에 따르면, 북한 연계 해커조직 라자루스(Lazarus)가 이스라엘의 특정 회사에 대한 사이버 공격 정황이 포착되었다고 밝혔습니다. [그림 1] 이스라엘 보도 내용 (출처: North Korean Hackers Cited in Rare Attack in Israel) ■ 이스라엘 군수업체를 공격한 라자루스(Lazarus) 정부후원 연계 해킹 조직 ESRC에서는 이와 관련된 OSINT 기반 정보를 활용해 어떤 공격이 수행되었는지 조사하였습니다. 먼저 해당 위협은 스피어 피싱(Spear Phishing) 공격을 통해 내부 침투를 시도했습니다. 공격 대상은 이스라엘 국가가 전액 출자한 국방산..

악성코드 분석 리포트 2019. 3. 27. 10:13

라자루스(Lazarus)그룹 '익스트림 잡(Operation Extreme Job)' APT 공격 안녕하세요? 이스트시큐리티 CTI 조직인 시큐리티대응센터(이하 ESRC)는 정부후원을 받는 공격자(State-sponsored Actor)가 수행한 최신 지능형지속위협(APT) 캠페인을 확인했습니다. 이 그룹은 이른바 라자루스(Lazarus) 이름으로 널리 알려져 있고, 2018년 09월 06일 미 법무부에서 미국 소니픽쳐스 영화사 해킹, 방글라데시 은행 해킹, 워너크라이 랜섬웨어 유포 등의 혐의로 LA 연방법원에 기소고발을 하였고, 미연방수사국(FBI)에서는 지명수배를 내린 상태입니다. https://www.fbi.gov/wanted/cyber/park-jin-hyok/@@download.pdf https..

악성코드 분석 리포트 2019. 1. 31. 08:15

안녕하세요. 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. 특정 정부가 배후에 있는것으로 알려져 있는 국가기반 해킹그룹 일명 '라자루스(Lazarus)'는 지난 03월 해외의 암호화폐 거래소 및 핀테크 관련 회사를 공격시도했던 것으로 알려져 있습니다. 물론, 해외뿐만 아니라, 최근 한국의 특정 대상을 상대로 은밀한 스피어피싱(Spear Phishing) 공격이 포착된 바 있고, 알약 블로그에서는 '라자루스 최신 APT 작전 '배틀 크루저(Operation Battle Cruiser) 재등장' 내용으로 공개한 바 있습니다. 지난 03월 해외에서 보고되었던 악성파일은 당시 MS Word 문서포맷에 악성 매크로(Macro)코드를 삽입한 형태이며, 미끼(De..

악성코드 분석 리포트 2018. 11. 13. 10:24

이스트시큐리티의 CTI 조직인 시큐리티대응센터(이하 ESRC)는 정부 차원의 후원을 받는 공격자(State-sponsored Actor)가 수행한 최신 지능형지속위협(APT) 캠페인을 확인했습니다. 수년간 연속성이 유지되던 APT 징후가 일정 기간 포착되지 않을 경우, 위협그룹이 새로운 침투를 준비하고 있거나 최신 공격 기술개발에 집중하고 있는 단계일 가능성이 있습니다. 이번 사이버 위협의 배후로 알려진 조직은 일명 '라자루스(Lazarus)'로 널리 알려져 있으며, 이미 유사한 공격 사례가 지속적으로 보고되고 있습니다. ESRC에서는 금년에 국내외에서 포착된 여러 건의 작전을 연속시리즈로 공개한 바 있으며, 공격에 사용한 익스포트 함수, 파일명 등의 키워드를 활용해 '작전명 배틀 크루저(Operatio..

악성코드 분석 리포트 2018. 10. 23. 23:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2017년 동안 한국의 특정 가상화폐 거래소를 대상으로 활동했던 이른바 정부 차원의 후원을 받는 것으로 추정되는 공격자(state-sponsored actor)가 2018년에는 글로벌을 상대로 공격을 시도하는 정황이 다수 포착되고 있습니다. 한국에서는 HWP 문서파일 취약점을 악용한 스피어피싱이 주로 활용된 반면, 해외는 DOC 문서 등의 매크로 기능을 활용하는 특징이 있고, 내부 코드를 숨기는데 나름의 노력을 기울이고 있다는 것이 특징입니다. 이들의 사이버 위협 활동은 지속적으로 진행되고 있는데, 얼마 전 알약 블로그를 통해 포스팅됐던 [3.20 공격 조직의 최신 오퍼레이션 '코인 매니저 (Coin Manager)'] 내용의 연장선이라 할 수..

악성코드 분석 리포트 2018. 1. 31. 20:46

■ 금융 소프트웨어 위장 작전명 코인 매니저 (Coin Manager) 안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 지난 2009년 7.7 DDoS 공격부터 2013년 3.20 금융사/언론사 전산망 대란, 2017년 한국 특정 가상화폐 거래소 공격까지 한국에서 발생하고 있는 주요 사이버 보안위협에는 다양한 공통점이 존재합니다. 해외의 보안업체들은 이 공격그룹에 대해 이른바 라자루스(Lazarus) 등의 고유 그룹명을 지정해 사용하고 있기도 합니다. 이들은 한국의 주요 정부기관, 언론사, 금융사, 대북단체, 민간기업 등 매우 다양한 분야에 걸쳐 수년 넘게 사이버 침투 활동을 유지하고 있으며, 지금도 현재 진행형이라 해도 절대 과언이 아닙니다. [그림 1] 과거 주요 사이버 위협 사례 201..

악성코드 분석 리포트 2017. 12. 19. 02:08