안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 외교부에서 발행한 것처럼 위장한 악성 파일이 발견되어 관련자들의 각별한 주의가 필요합니다. 해당 공격을 수행한 배후 세력으로는 북한 정부 지원 해커 조직인 ‘탈륨 (Thallium)’이 지목되었으며, 내부 문자열 암호화 방식이 기존 탈륨(Thallium) APT 조직의 ‘블루 에스티메이트 (Blue Estimate)’ 캠페인과 정확히 일치합니다. 이번 공격은 지난 4월에 발견된 ‘2021년 외교부 재외공관 복무 관련 실태 조사’ 관련 해킹 시도의 연장선에 있는 것으로 의심됩니다. 새로 발견된 악성 파일은 2021년 5월 7일 날짜로 발행된 외교부 대변인실 표지의 가판 뉴스가 담긴 정상 PDF 파일 내용을 사용함으로써 수신자의 의심을 최소화..

악성코드 분석 리포트 2021. 5. 7. 16:12

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 외교·안보·국방·통일 분야에 종사하는 전문가나 관계자를 겨냥한 이메일 해킹 시도가 국내에서 지속되고 있어 각별한 주의가 필요합니다. 국제사회에서 오래 전부터 북한 당국과 연계된 것으로 공식 언급되어 온 ‘탈륨’(Thallium)과 ‘라자루스’(Lazarus) 조직이 해당 공격의 배후 세력으로 지목되었습니다. 각 조직은 국내 특정 분야를 대상 삼아 은밀하게 사이버 위협 행위에 가담하고 있어 그 이면에 어떤 목적을 가진 것인지 의심스러운 상황입니다. 4월 현재까지 두 조직의 주요 활동 무대는 한국의 외교·안보·국방·통일 분야이며, 일부 방위산업이나 군사전문가들도 표적에 노출되는 것으로 관측됩니다. 공격은 주로 악성 DOC 문서를 이메일에 첨부..

악성코드 분석 리포트 2021. 4. 20. 10:33

North Korean-Backed Group Sets Up Fake Security Company, Google Says 구글의 보고에 따르면, 북한 정부의 지원을 받는 공격자들이 보안 회사의 직원을 해킹하기 위한 캠페인을 통해 SNS에서 보안 연구원으로 가장한 것으로 나타났습니다. 보안 연구원들을 노린 공격자의 능력과 의지는 이 캠페인이 얼마나 심각한지 보여줍니다. 이는 사이버 보안 세계에서는 흔한 일이 아니기 때문에 더욱 흥미로운 일입니다. 몇 달 전, 구글은 취약점을 연구하는 보안 연구원들을 노린 한 캠페인을 발견했으며 북한 정부 지원 해커 그룹의 소행이라 밝혔습니다. 공격자들은 작업을 확대하기 위해 블로그, 가짜 연락처, 트위터 프로필을 만들고 영상을 업로드하고 소셜 미디어를 이용했습니다. 그 ..

국내외 보안동향 2021. 4. 6. 14:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 이번 글에서는 최근 발견된 탈륨 조직 배후의 악성 HWP 문서파일 분석 내용을 기술하고, 어떤 위협사례와 유사한지 소개해 보고자 합니다. 해당 악성 문서는 다음과 같은 정보을 가지고 있으며, 마지막 수정날짜 기준으로 보면 2020년 11월 경 제작됐습니다. · 파일 이름 : 신종_코로나바이러스_관련_소상공인_지원_종합안내.hwp · 크기 : 91,648 바이트 · 작성자 : MSS · 마지막 수정자 : DefaultAccounts · 마지막 수정날짜 : 2020-11-25 02:20:12 (UTC) 먼저 HWP 내부 구조를 살펴보면, BinData 위치에 3개의 OLE 오브젝트가 포함된 것을 확인할 수 있고, 2개의 png 이미지 파일이 존재..

악성코드 분석 리포트 2021. 2. 17. 00:40

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 최근 미국 바이든 행정부 출범 기획 설문지로 위장한 해킹 공격이 수행중인 것으로 확인되어 각별한 주의가 필요합니다. 해당 공격 배후로는 국제사회에 북한 정부가 연계된 것으로 알려진 해킹 조직 ‘탈륨(Thallium)’이 지목되었으며, 해당 그룹은 2021년에도 가장 활발하게 공격을 수행 중인 지능형지속위협(APT) 그룹 중 하나입니다. 2019년말 미국 마이크로소프트(MS)로부터 정식 고소를 당하며 국제 사회에 주목을 받은 해킹 조직으로, 김수키(Kimsuky)라는 별칭도 가지고 있는 탈륨 조직은 한국과 미국 등을 포함해 글로벌 위협 활동을 펼치고 있으며, 대북 분야 민간단체나 정치·외교·안보·통일·국방 전현직 관계자를 대상으로 광범위한 사이버..

악성코드 분석 리포트 2021. 1. 18. 15:14

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 최근 국내 블록체인 기업의 체불확인원 개인문서로 위장한 악성 DOC 파일이 발견됐습니다. 이 악성파일은 기존 탈륨(Thallium) 조직의 전략전술 기법과 프로세스가 일치하며, '스모크 스크린(Smoke Screen)' APT 캠페인의 일환으로 분석됐습니다. 먼저 문서는 다음과 같은 형태를 가지고 있는데, 파일명에 특정인 이름이 포함돼 있습니다. 파일명 작성자 마지막 수정명 마지막 수정 시간 체불확인원-ㅇㅇㅇ.doc User Devil 2020-12-14 14:06:00 (UTC) 문서가 실행되면 다음과 같이 매크로 실행을 유도하기 위해 조작한 문서보안 메시지를 보여줍니다. 보안경고 창에 있는 [콘텐츠 사용] 버튼 클릭을 유도..

악성코드 분석 리포트 2020. 12. 17. 11:14

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 2019년 말 미국 마이크로소프트(MS)사가 고소하면서 알려진 북한 연계 해킹그룹 ‘탈륨(Thallium)’의 새로운 지능형지속위협(APT) 공격 징후가 포착됐습니다. 탈륨은 일명 김수키(Kimsuky)라는 이름으로도 알려져 있습니다. ESRC는 11월에 제작된 신규 악성파일이 지난 2019년 12월 04일 '김수키 조직, 청와대 녹지원/상춘재 행사 견적서 사칭 APT 공격' 제목의 【블루 에스티메이트(Blue Estimate)】 APT 캠페인 시리즈로 확인했습니다. 현재 위협 행위자는 한국 과학기술연구, 방위산업 등 멀티 APT 공격을 수행 중입니다. 이들은 다양한 분야에 대한 사이버 위협활동을 지속하고 있으며, 그 활성도가 매우 높은 상태..

악성코드 분석 리포트 2020. 11. 12. 01:48

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 2020년 11월 03일 마치 미국 대선 예측과 관련된 언론사 문건처럼 위장한 악성 HWP 문서 파일이 바이러스 토탈 서비스에 등록된 것이 확인 됐습니다. [그림 1] 바이러스 토탈 구글 서비스에 등록된 악성 파일 화면 해당 악성 파일은 얼마 남지 않은 미국 대선 예측이라는 테마를 시기적절하게 사용했으며, 다음과 같은 형식을 가지고 있습니다. 파일 이름 파일 크기 마지막 저장 계정 마지막 수정 날짜 미국 대선 예측 - 미주중앙일보.hwp 36,352 바이트 Admin 2020-11-01 11:23:35 (KST) 그동안 악성 HWP 문서는 주로 포스트 스크립트(Post Script) 취약점과 셸코드(Shellcode)를 결합한 공격이 상대적으..

악성코드 분석 리포트 2020. 11. 4. 02:37