■ 오퍼레이션 김수키의 최신 APT 공격, '작전명 원제로(Operation Onezero)' 배경 안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 저희는 지난 02월, 작전명 김수키(Operation Kimsuky)의 활동이 은밀하게 계속되고 있으며, 한국을 대상으로 한 APT(지능형지속위협) 공격이 활성화되어 있음을 알려드린 바 있습니다. ESRC에서는 정부차원의 후원을 받는 공격자(State-sponsored Actor)가 2018년 05월에 수행한 최신 표적형 APT 사례를 확보해 분석하였고, 흥미롭게도 김수키 작전에 사용된 '위협 벡터'(공격자가 침해대상에 사용한 접근수단)와 오버랩된다는 점을 발견했습니다. 해당 위협그룹과 개발코드가..

악성코드 분석 리포트 2018. 5. 28. 21:24

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2017년 동안 한국의 특정 가상화폐 거래소를 대상으로 활동했던 이른바 정부 차원의 후원을 받는 것으로 추정되는 공격자(state-sponsored actor)가 2018년에는 글로벌을 상대로 공격을 시도하는 정황이 다수 포착되고 있습니다. 한국에서는 HWP 문서파일 취약점을 악용한 스피어피싱이 주로 활용된 반면, 해외는 DOC 문서 등의 매크로 기능을 활용하는 특징이 있고, 내부 코드를 숨기는데 나름의 노력을 기울이고 있다는 것이 특징입니다. 이들의 사이버 위협 활동은 지속적으로 진행되고 있는데, 얼마 전 알약 블로그를 통해 포스팅됐던 [3.20 공격 조직의 최신 오퍼레이션 '코인 매니저 (Coin Manager)'] 내용의 연장선이라 할 수..

악성코드 분석 리포트 2018. 1. 31. 20:46