안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 한국 공공기관을 노린 북한 연계 해킹그룹의 공격이 계속 발견되고 있는 가운데, 이번에는 김수키의 구글 블로그를 활용한 해킹 시도가 급증하고 있어 각별한 주의가 필요합니다. 지난 28일 수행된 이번 공격은 학술대회 참가 양식처럼 위장된 MS Word 문서 파일로 마치 보안 문서처럼 암호가 설정되어 있지만, 이는 보안 프로그램의 탐지를 회피하기 위한 목적으로 사용됩니다. 해당 문서는 전형적인 악성 매크로 기법이 적용돼 있고, ‘콘텐츠 사용’ 버튼을 허용할 경우 악성코드가 실행됩니다. 분석에 의하면, 악성코드가 작동하면 국내 중소기업의 홈페이지(daewon3765.○○○[.]com)와 1차 통신을 시도하고, 그다음 공격자들이 구축한 특정 ..

악성코드 분석 리포트 2021. 7. 1. 13:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 ‘탈륨’ 또는 ‘김수키’ 등의 이름으로 널리 알려진 北 연계 해킹 조직 소행으로 지목된 APT(지능형지속위협) 공격이 국내에서 연이어 발견되고 있어 각별한 주의가 필요합니다. 이번에 새롭게 발견된 APT 공격은 통일부를 사칭한 이메일 공격과 통일연구원을 사칭한 이메일 해킹 공격 유형 등입니다. 먼저 통일부 사칭 공격은 지난 06월 22일 수행됐고, 통일연구원을 사칭한 공격은 24일 포착됐습니다. 두 공격 모두 거의 동일한 시기에 ‘북한의 당 중앙위원회 제8기 제3차 전원회의 분석’ 주제와 관련된 내용처럼 수신자를 현혹하는 공통점이 발견됐습니다. 특히, 수신자들이 해당 이메일을 해킹 공격으로 의심하지 않도록 각 발신지 주소를 실제 통일..

악성코드 분석 리포트 2021. 6. 25. 14:30

瑞星预警：APT组织Lazarus Group对中国发起攻击 최근 Rising Threat Intelligence Center는 중국 정부와 민간 기업에 대한 APT 공격을 포착했다고 밝혔습니다. 분석 결과, 공격자는 피싱 이메일을 통해 제목이 "security status check.zip"인 압축 파일을 전송하는 것으로 확인되었습니다. "정보 보안 기술 정보 시스템 보안 수준 보호 구현 가이드"라는 제목의 미끼 파일은 메일 수신자가 파일을 클릭하도록 유도하는 데 사용됩니다. 공격에 성공하면 공격자는 컴퓨터를 원격 제어하여 임의 코드를 실행하고 중요한 데이터와 정보를 훔칩니다. Rising의 보안 전문가들은 위협 인텔리전스 데이터를 통해 분석한 결과, 공격이 Group 77, Hastati Group, Hi..

국내외 보안동향 2021. 6. 2. 17:19

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 외교부에서 발행한 것처럼 위장한 악성 파일이 발견되어 관련자들의 각별한 주의가 필요합니다. 해당 공격을 수행한 배후 세력으로는 북한 정부 지원 해커 조직인 ‘탈륨 (Thallium)’이 지목되었으며, 내부 문자열 암호화 방식이 기존 탈륨(Thallium) APT 조직의 ‘블루 에스티메이트 (Blue Estimate)’ 캠페인과 정확히 일치합니다. 이번 공격은 지난 4월에 발견된 ‘2021년 외교부 재외공관 복무 관련 실태 조사’ 관련 해킹 시도의 연장선에 있는 것으로 의심됩니다. 새로 발견된 악성 파일은 2021년 5월 7일 날짜로 발행된 외교부 대변인실 표지의 가판 뉴스가 담긴 정상 PDF 파일 내용을 사용함으로써 수신자의 의심을 최소화..

악성코드 분석 리포트 2021. 5. 7. 16:12

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 외교·안보·국방·통일 분야에 종사하는 전문가나 관계자를 겨냥한 이메일 해킹 시도가 국내에서 지속되고 있어 각별한 주의가 필요합니다. 국제사회에서 오래 전부터 북한 당국과 연계된 것으로 공식 언급되어 온 ‘탈륨’(Thallium)과 ‘라자루스’(Lazarus) 조직이 해당 공격의 배후 세력으로 지목되었습니다. 각 조직은 국내 특정 분야를 대상 삼아 은밀하게 사이버 위협 행위에 가담하고 있어 그 이면에 어떤 목적을 가진 것인지 의심스러운 상황입니다. 4월 현재까지 두 조직의 주요 활동 무대는 한국의 외교·안보·국방·통일 분야이며, 일부 방위산업이나 군사전문가들도 표적에 노출되는 것으로 관측됩니다. 공격은 주로 악성 DOC 문서를 이메일에 첨부..

악성코드 분석 리포트 2021. 4. 20. 10:33

North Korean-Backed Group Sets Up Fake Security Company, Google Says 구글의 보고에 따르면, 북한 정부의 지원을 받는 공격자들이 보안 회사의 직원을 해킹하기 위한 캠페인을 통해 SNS에서 보안 연구원으로 가장한 것으로 나타났습니다. 보안 연구원들을 노린 공격자의 능력과 의지는 이 캠페인이 얼마나 심각한지 보여줍니다. 이는 사이버 보안 세계에서는 흔한 일이 아니기 때문에 더욱 흥미로운 일입니다. 몇 달 전, 구글은 취약점을 연구하는 보안 연구원들을 노린 한 캠페인을 발견했으며 북한 정부 지원 해커 그룹의 소행이라 밝혔습니다. 공격자들은 작업을 확대하기 위해 블로그, 가짜 연락처, 트위터 프로필을 만들고 영상을 업로드하고 소셜 미디어를 이용했습니다. 그 ..

국내외 보안동향 2021. 4. 6. 14:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 이번 글에서는 최근 발견된 탈륨 조직 배후의 악성 HWP 문서파일 분석 내용을 기술하고, 어떤 위협사례와 유사한지 소개해 보고자 합니다. 해당 악성 문서는 다음과 같은 정보을 가지고 있으며, 마지막 수정날짜 기준으로 보면 2020년 11월 경 제작됐습니다. · 파일 이름 : 신종_코로나바이러스_관련_소상공인_지원_종합안내.hwp · 크기 : 91,648 바이트 · 작성자 : MSS · 마지막 수정자 : DefaultAccounts · 마지막 수정날짜 : 2020-11-25 02:20:12 (UTC) 먼저 HWP 내부 구조를 살펴보면, BinData 위치에 3개의 OLE 오브젝트가 포함된 것을 확인할 수 있고, 2개의 png 이미지 파일이 존재..

악성코드 분석 리포트 2021. 2. 17. 00:40

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 최근 미국 바이든 행정부 출범 기획 설문지로 위장한 해킹 공격이 수행중인 것으로 확인되어 각별한 주의가 필요합니다. 해당 공격 배후로는 국제사회에 북한 정부가 연계된 것으로 알려진 해킹 조직 ‘탈륨(Thallium)’이 지목되었으며, 해당 그룹은 2021년에도 가장 활발하게 공격을 수행 중인 지능형지속위협(APT) 그룹 중 하나입니다. 2019년말 미국 마이크로소프트(MS)로부터 정식 고소를 당하며 국제 사회에 주목을 받은 해킹 조직으로, 김수키(Kimsuky)라는 별칭도 가지고 있는 탈륨 조직은 한국과 미국 등을 포함해 글로벌 위협 활동을 펼치고 있으며, 대북 분야 민간단체나 정치·외교·안보·통일·국방 전현직 관계자를 대상으로 광범위한 사이버..

악성코드 분석 리포트 2021. 1. 18. 15:14