안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2023년 8월 공개된 WinRAR 취약점(CVE-2023-38831)을 악용한 공격 사례가 증가하고 있습니다. 이 취약점은 RARLAB의 파일 압축 소프트웨어인 WinRAR 6.22 이하 버전에서 임의의 코드를 실행할 수 있는 보안 취약점입니다. 북한의 해킹그룹 APT37과 코니(Konni), 우크라이나를 표적으로 삼는 해킹 조직 GhostWriter 등은 2023년 하반기, WinRAR 취약점 CVE-2023-38831을 활용하여 APT 공격을 감행한 것으로 확인되었습니다. CVE-2023-38831 취약점은 CVSS 점수 7.8로 취약점으로 평가되며, 2023년 8월 2일자 패치를 통해 해결되었습니다. 그러나 PoC 익스플로잇 코드가..

악성코드 분석 리포트 2024. 1. 26. 13:32

안녕하세요? 이스트시큐리티입니다. 우리나라는 지난 2009년 7월 7일 정부 기관을 포함한 여러 인터넷 사이트가 무차별 디도스 공격을 받아 서비스가 마비되는 초유의 사태를 경험했습니다. 이후에도 이 같은 사이버 공격은 계속 이어졌습니다. 지금 이 순간에도 수많은 지능형지속위협(APT) 공격의 중심에 서 있습니다. 보안업체 분석 보고서와 언론 보도를 통해 알려지는 사례가 있지만 이는 수많은 공격 가운데 극소수에 불과합니다. 그나마 알려진 내용도 대수롭지 않게 여기는 경우가 흔합니다. 공격이 얼마나 위험한지 체감하는 데 한계가 있는 것도 사실이지만 일각에선 보안 불감증이 심각한 수준이라는 지적이 제기됩니다. 보안 위협을 조기에 발견하고 탐지하면 다소 간단한 조치와 대응만으로 침해 사고 예방에 큰 도움이 됩니..

전문가 기고 2020. 8. 19. 10:30

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2019년 03월 18일, 마치 이력서 원본을 보내는 것처럼 위장한 APT(지능형지속위협) 공격이 식별됐습니다. 주로 한국의 대북관련 분야에 활동하는 인사들에게 집중적으로 공격이 진행된 정황을 포착했습니다. 공격을 수행한 '금성121(Geumseong121)' 위협조직은 이메일에 악성 파일을 첨부해 발송하는 이른바 스피어 피싱(Spear Phishing) 공격기법을 활용했고, 암호화된 압축 파일을 사용해 1차 탐지회피를 계획한 나름 투트랙 피싱 전략을 구사했습니다. 실제 공격에 사용된 해킹 공격 이메일은 다음과 같고, 마치 원본 메일이 전달된 것으로 위장했습니다. [그림 1] 실제 공격에 사용된 스피어 피싱(Spear Phishing) 이..

악성코드 분석 리포트 2019. 3. 20. 01:49

안녕하세요? 이스트시큐리티입니다. 통일부를 사칭한 해킹 공격 시도가 꾸준히 발견되고 있어, 이용자분들의 각별한 주의가 요망됩니다.특히, html 유형의 악성코드를 첨부해 보내는 특징이 있습니다. [그림 1] 스피어피싱 이메일 화면 이른바 정부지원 해커로 알려진 ‘금성121(Geumseong121)’ 그룹이 공식적인 ‘남북이산가족찾기 전수조사’ 내용으로 사칭한 해킹 이메일을 통해 APT 공격을 수행하고 있어 각별한 주의가 필요합니다. [그림 2] 남북이산가족찾기 의뢰서로 위장한 악성파일 실행 화면 시큐리티대응센터(ESRC)가 분석한 내용에 따르면, 이번 공격에 사용된 HWP 문서취약점은 기존 스타일에서 포스트스크립트(PostScript) 리버스 난독화 기법이 추가되었고, 문서 스트림에 암호화되어 숨겨진 최..

악성코드 분석 리포트 2018. 7. 4. 14:11

일본 주요 인프라 산업을 노린 APT 공격日本の主要インフラ産業に執拗なサイバー攻撃--近隣国からの可能性も 보안업체Cylance는 일본의 주요 산업 및 기관시설을 노리는 “Operation Dust Storm(모래폭풍대작전)” 의 레포트를 발표하였습니다. 이 조직은 2010년부터 공격을 시작하였으며, 지금까지 일본, 한국, 미국 및 기타 아시아 국가의 주요 산업시설을 대상으로 다양한 수법을 이용한 공격을 진행중에 있습니다. 또한 SPEAR의 최신 조사결과에 따르면, 아직 정체가 밝혀지지 않은 공격조직이 공격의 표적을 '일본기업 혹은 해외 기업의 일본부서'로 옮기고 있다고 밝혔습니다. 이 조직들은 충분한 예산이 있고, 인재와 공격 기술 면에서 충분한 리소스를 갖고 있기 때문에 장기적인 공격을 진행할 것으로 예상..

국내외 보안동향 2016. 3. 2. 10:15

HWP 2014 취약점 공격주의 한컴오피스2014 제품의 문서파일(HWP) 취약점(CVE-2015-6585)을 이용한 악성파일이 지속적으로 발견되고 있어, 해당 제품 이용자들의 각별한 주의가 필요합니다. 이 보안 취약점은 2015년 09월 07일 한글과컴퓨터 업체에서 제공한 보안업데이트를 통해 취약점을 제거할 수 있습니다. HWP 2014 취약점 공격절차 이번 공격은 한컴 오피스 2014 제품을 설치한 특정 환경에서 취약점이 작동하며, 8월 전후부터 보안 업데이트가 완료된 9월 초까지 Zero-Day 공격으로 활용됐습니다. 또한, 한글 2014 환경설정에 존재하는 “악성코드 차단” 동작 기능 설정과는 무관하게 취약점이 작동합니다. 유포과정 공격자는 취약점 모듈을 삽입한 HWP(X) 문서파일을 첨부해 특정..

국내외 보안동향 2015. 10. 6. 14:20