안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 최근 미국 바이든 행정부 출범 기획 설문지로 위장한 해킹 공격이 수행중인 것으로 확인되어 각별한 주의가 필요합니다. 해당 공격 배후로는 국제사회에 북한 정부가 연계된 것으로 알려진 해킹 조직 ‘탈륨(Thallium)’이 지목되었으며, 해당 그룹은 2021년에도 가장 활발하게 공격을 수행 중인 지능형지속위협(APT) 그룹 중 하나입니다. 2019년말 미국 마이크로소프트(MS)로부터 정식 고소를 당하며 국제 사회에 주목을 받은 해킹 조직으로, 김수키(Kimsuky)라는 별칭도 가지고 있는 탈륨 조직은 한국과 미국 등을 포함해 글로벌 위협 활동을 펼치고 있으며, 대북 분야 민간단체나 정치·외교·안보·통일·국방 전현직 관계자를 대상으로 광범위한 사이버..

악성코드 분석 리포트 2021. 1. 18. 15:14

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 최근 국내 블록체인 기업의 체불확인원 개인문서로 위장한 악성 DOC 파일이 발견됐습니다. 이 악성파일은 기존 탈륨(Thallium) 조직의 전략전술 기법과 프로세스가 일치하며, '스모크 스크린(Smoke Screen)' APT 캠페인의 일환으로 분석됐습니다. 먼저 문서는 다음과 같은 형태를 가지고 있는데, 파일명에 특정인 이름이 포함돼 있습니다. 파일명 작성자 마지막 수정명 마지막 수정 시간 체불확인원-ㅇㅇㅇ.doc User Devil 2020-12-14 14:06:00 (UTC) 문서가 실행되면 다음과 같이 매크로 실행을 유도하기 위해 조작한 문서보안 메시지를 보여줍니다. 보안경고 창에 있는 [콘텐츠 사용] 버튼 클릭을 유도..

악성코드 분석 리포트 2020. 12. 17. 11:14

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 2019년 말 미국 마이크로소프트(MS)사가 고소하면서 알려진 북한 연계 해킹그룹 ‘탈륨(Thallium)’의 새로운 지능형지속위협(APT) 공격 징후가 포착됐습니다. 탈륨은 일명 김수키(Kimsuky)라는 이름으로도 알려져 있습니다. ESRC는 11월에 제작된 신규 악성파일이 지난 2019년 12월 04일 '김수키 조직, 청와대 녹지원/상춘재 행사 견적서 사칭 APT 공격' 제목의 【블루 에스티메이트(Blue Estimate)】 APT 캠페인 시리즈로 확인했습니다. 현재 위협 행위자는 한국 과학기술연구, 방위산업 등 멀티 APT 공격을 수행 중입니다. 이들은 다양한 분야에 대한 사이버 위협활동을 지속하고 있으며, 그 활성도가 매우 높은 상태..

악성코드 분석 리포트 2020. 11. 12. 01:48

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 2020년 11월 03일 마치 미국 대선 예측과 관련된 언론사 문건처럼 위장한 악성 HWP 문서 파일이 바이러스 토탈 서비스에 등록된 것이 확인 됐습니다. [그림 1] 바이러스 토탈 구글 서비스에 등록된 악성 파일 화면 해당 악성 파일은 얼마 남지 않은 미국 대선 예측이라는 테마를 시기적절하게 사용했으며, 다음과 같은 형식을 가지고 있습니다. 파일 이름 파일 크기 마지막 저장 계정 마지막 수정 날짜 미국 대선 예측 - 미주중앙일보.hwp 36,352 바이트 Admin 2020-11-01 11:23:35 (KST) 그동안 악성 HWP 문서는 주로 포스트 스크립트(Post Script) 취약점과 셸코드(Shellcode)를 결합한 공격이 상대적으..

악성코드 분석 리포트 2020. 11. 4. 02:37

◇ 탈륨(Thallium) 해킹 조직 위협 배경 안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 저희는 2020년 07월 25일 【미국 MS가 고소한 탈륨 그룹, 대한민국 상대로 '페이크 스트라이커' APT 캠페인 위협 고조】라는 스페셜 리포트를 공개한 바 있습니다. 미국 현지 시점으로 지난 08월 26일 마이크로소프트(MS)사는 '탈륨' 해킹조직에 대해 피고인이 출정하지 않은 공석상태에서 진행하는 궐석재판을 요청하였고, 이들이 사용한 이메일 주소에 수차례 소환장을 보냈다고 밝혔습니다. 흥미롭게도 해당 이메일 중 일부는 MS 고소장 공개 이전 시점에 소개한 알약 블로그 분석내용의 계정과 정확히 일치합니다. 탈륨 이메일 주소 블로그 연관 정보 bitcoin024@hanmail.net bitc..

악성코드 분석 리포트 2020. 9. 3. 09:58

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 대북 분야 국책연구기관을 사칭해 특정 기관 관계자 정보를 수집하는 스피어피싱(Spear Phishing) 공격이 발견돼, 관련 업계 종사자의 각별한 주의가 필요합니다. [그림 1] 통일연구원 전문가 자문 요청을 사칭한 악성 문서 파일 이번 공격에 사용된 이메일은 대북 분야 국책연구기관인 ‘통일연구원(KINU, Korea Institute for National Unification)’을 사칭하고 있으며, 해당 연구기관에서 전문가 자문을 요청하는 내용을 담고 있습니다. 발견된 메일에는 'KINU 전문가 자문 요청사항(한미동맹과 한중관계).hwp'라는 악성 한글 문서 파일이 첨부되어 있었습니다. 만약 수신자가 실제 자문 요청 문서로 착각해 이 문서..

악성코드 분석 리포트 2019. 10. 17. 13:16

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. ESRC는 지난 4월부터 정부기반 해킹그룹 '김수키(Kimsuky)' 조직의 APT 캠페인 '스모크 스크린(Smoke Screen)' 활동에 대해 공개한 바 있으며, 이들은 한국과 미국을 대상으로 지속적인 위협활동에 가담하고 있습니다. 특히, 김수키 조직원 중 일부가 여러 프리랜서 사이트에 가입해 각종 프로그램 외주개발 활동에 참여한 실체를 처음으로 공개한 바 있고, 이들이 해외 비트코인 커뮤니티에서 은밀히 코인 거래 중인 사실도 밝혀냈습니다. 과거 은둔 기밀 첩보활동에서 벗어나 카카오톡, 텔레그램, 스카이프 등의 온라인 메신저를 통해 개인간 직접 연락을 시도하는 과감한 활동성도 보여주고 있습니다. ▶ 암호화된 APT 공격, Kimsuky..

악성코드 분석 리포트 2019. 9. 27. 21:15

North Korean Hackers Use ELECTRICFISH Malware to Steal Data 미 연방 수사국(FBI)과 미 국토안보부(DHS)가 북한 APT 그룹인 라자루스(Lazarus)에 대한 분석 보고서를 발행했습니다. 발표된 분석 보고서에는 피해자들로부터 데이터를 추출하는 악성코드인 ELECTRICFISH에 대한 내용이 포함되어 있습니다. US-CERT 사이트에 공개된 MAR AR19-129A에 따르면, 이 악성코드는 북한 해킹 그룹인 히든 코브라(HIDDEN COBRA)의 악성 행위를 추적하던 중 발견되었습니다. HIDDEN COBRA는 Lazarus, Guardians of Peace, ZINC, NICKET ACADEMY로도 알려져 있습니다. MAR-10135536-21 악성코..

국내외 보안동향 2019. 5. 13. 09:41