안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 얼마전 2019년 03월 20일 "로켓맨 APT 캠페인, 오퍼레이션 골든 버드(Operation Golden Bird)" 리포트를 통해 '금성121(Geumseong121)' 조직이 HWP 문서기반 이력서를 사칭해 수행한 APT 공격 사례를 공개했습니다. 그리고 지난 01월 23일에는 "홀리데이 와이퍼(Operation Holiday Wiper)로 귀환한 로켓맨 APT 캠페인" 제목으로 이들이 XLS 문서파일을 활용한 스피어 피싱(Spear Phishing) 사례와 데이터 삭제 시도 정황도 포착한 바 있습니다. ESRC에서는 이들이 사이버 주무기로 활용한 공격벡터와 휴먼 인텔리전스에 주목하고 있으며, 그동안 알려지지 않았던 몇 가지 공격..

악성코드 분석 리포트 2019. 4. 2. 09:29

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2019년 03월 18일, 마치 이력서 원본을 보내는 것처럼 위장한 APT(지능형지속위협) 공격이 식별됐습니다. 주로 한국의 대북관련 분야에 활동하는 인사들에게 집중적으로 공격이 진행된 정황을 포착했습니다. 공격을 수행한 '금성121(Geumseong121)' 위협조직은 이메일에 악성 파일을 첨부해 발송하는 이른바 스피어 피싱(Spear Phishing) 공격기법을 활용했고, 암호화된 압축 파일을 사용해 1차 탐지회피를 계획한 나름 투트랙 피싱 전략을 구사했습니다. 실제 공격에 사용된 해킹 공격 이메일은 다음과 같고, 마치 원본 메일이 전달된 것으로 위장했습니다. [그림 1] 실제 공격에 사용된 스피어 피싱(Spear Phishing) 이..

악성코드 분석 리포트 2019. 3. 20. 01:49

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 작년 08월 22일 ESRC에서는 '작전명 로켓 맨(Operation Rocket Man)' 공격 분석을 상세하게 공개한 바 있습니다. 이 공격은 당시 한국에 거주하는 일부 탈북민과 대북단체(장) 등이 위협 대상에 포함됐던 것으로 추정됩니다. [그림 1] 2018년 08월 유포된 악성 문서 파일 2018년 당시 '로켓맨' APT(지능형지속위협) 공격은 HWP 문서파일의 취약점을 이용해 진행이 되었습니다. 당시, 한국의 특정 웹 사이트를 해킹해 악성 HWP 문서를 등록해 두었고, 실제 이메일에는 URL 링크 방식의 공격 벡터를 활용했습니다. APT 공격에 사용된 '통지.HWP' 취약점 파일에는 제..

악성코드 분석 리포트 2019. 1. 23. 09:11