안녕하세요? 이스트시큐리티 시큐리티 대응센터(이하 ESRC) 입니다. 지난 04월 17일 "한ㆍ미 겨냥 APT 캠페인 '스모크 스크린' Kimsuky 실체 공개" 리포팅을 통해 한국과 미국을 대상으로 은밀하게 수행 중인 APT 공격의 배후가 드러난 바 있습니다. 약 한달이 지난 지금까지도 '스모크 스크린' 캠페인을 벌인 조직의 대남, 대미 사이버 첩보 활동이 멈추지 않고 있습니다. 흥미로운 점은 이들이 한국과 미국을 상대로 스피어 피싱(Spear Phishing) 공격을 수행하면서, 보안 탐지 시스템을 간단하게 우회하고 있다는 것입니다. ■ 보안 기밀 문서로 위장한 연막(스모크 스크린) 작전 배경 ESRC는 한국과 미국의 북한관련 분야에 종사하는 전문직만 겨냥한 이들의 활동을 관찰하고 분석하면서 공통적인..

악성코드 분석 리포트 2019. 5. 13. 17:34

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. ESRC에서는 한국의 대북관련 분야에 종사하는 인물을 대상으로 4월 11일 기준 스피어 피싱(Spear Phishing) 공격이 수행된 것을 발견했습니다. 이는 지난 04월 03일 【최근 한반도 관련 주요국 동향】, 【3.17 미국의 편타곤 비밀 국가안보회의】 내용으로 전파된 '스텔스 파워(Operation Stealth Power)' 작전의 APT 공격 연장 활동으로 드러났으며, 2014년 한국수력원자력(한수원) 해킹 공격 배후와 동일 조직으로 밝혀졌습니다. [English Version] Analysis of the APT Campaign ‘Smoke Screen’ targeting to Korea and US [그림 1] 한미정상회..

악성코드 분석 리포트 2019. 4. 17. 09:58

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 ‘자문용 질문 190108.hwp’ 이름의 악성 한글 파일이 발견되었습니다. 현재까지도 꾸준한 공격 활동을 유지하고 있는 것으로 확인되어 있어, 이용자들의 주의를 당부드립니다. ※ 관련글 보기 ▶ 오퍼레이션 김수키(Kimsuky)의 은밀한 활동, 한국 맞춤형 APT 공격은 현재 진행형 ‘자문용 질문 190108.hwp’ 문서 내용은 아래와 같이 ‘서면 자문용 질문’ 제목을 하고 있고, 남북한 상황에 대한 질문 내용이 담겨져 있습니다. [그림 1] ‘자문용 질문 190108.hwp’ 문서 화면 2018년 01월 30일 발견된 ‘남북 사회문화협력의 비전과 과제.hwp’ 와 마찬가지로 문서 지은이 계정은 대한민국의 행정기관인 외교부를 mofa(..

악성코드 분석 리포트 2019. 1. 10. 12:54

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. ESRC에서는 지난 2018년 10월 31일 제작된 최신 APT공격용 악성파일을 다수 발견해 긴급 대응을 완료하였습니다. 이 악성파일들은 한국시간(KST) 기준으로 10월 31일 00시 48분경 부터 13시 15분경 사이에 집중적으로 빌드되었고, 감염 환경에 따라 32비트와 64비트용이 각각 다르게 생성됩니다. 특히, 이 악성파일들은 한국의 특정 보안제품 아이콘으로 위장하고 있으며, 해당 리소스와 그룹 아이콘 등의 언어가 한국어 코드(1042)로 설정되어 있고, 컴퓨터가 감염될 경우 시스템의 주요 정보와 키보드 입력내용, 사용자 계정 등의 민감 자료가 외부로 무단 유출될 수 있습니다. [그림 ..

악성코드 분석 리포트 2018. 11. 2. 01:44

■ 오퍼레이션 김수키의 최신 APT 공격, '작전명 원제로(Operation Onezero)' 배경 안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 저희는 지난 02월, 작전명 김수키(Operation Kimsuky)의 활동이 은밀하게 계속되고 있으며, 한국을 대상으로 한 APT(지능형지속위협) 공격이 활성화되어 있음을 알려드린 바 있습니다. ESRC에서는 정부차원의 후원을 받는 공격자(State-sponsored Actor)가 2018년 05월에 수행한 최신 표적형 APT 사례를 확보해 분석하였고, 흥미롭게도 김수키 작전에 사용된 '위협 벡터'(공격자가 침해대상에 사용한 접근수단)와 오버랩된다는 점을 발견했습니다. 해당 위협그룹과 개발코드가..

악성코드 분석 리포트 2018. 5. 28. 21:24

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 지난 2013년 러시아 보안업체 카스퍼스키 랩(Kaspersky Lab)을 통해 처음 명명된 이른바 김수키(Kimsuky) 오퍼레이션은 2014년 한국의 보안업체 안랩(AhnLab) 등을 통해서도 널리 알려진 바 있습니다. 그런 가운데 김수키 작전은 2018년 현재까지도 꾸준한 활동을 유지하고 있는 것으로 확인되고 있어 각별한 주의가 요망됩니다. ▶ The “Kimsuky” Operation: A North Korean APT?▶ APT 공격 - 새로운 "Kimsuky" 악성코드 등장 약 5년이 지난 현재 김수키 계열의 보안위협은 새로운 방식으로 진화를 거듭하고 있습니다. ■ 오퍼레이션 김수키(Operation Kimsuky) 공격의 은밀한 공..

악성코드 분석 리포트 2018. 2. 12. 20:47

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2017년 동안 한국의 특정 가상화폐 거래소를 대상으로 활동했던 이른바 정부 차원의 후원을 받는 것으로 추정되는 공격자(state-sponsored actor)가 2018년에는 글로벌을 상대로 공격을 시도하는 정황이 다수 포착되고 있습니다. 한국에서는 HWP 문서파일 취약점을 악용한 스피어피싱이 주로 활용된 반면, 해외는 DOC 문서 등의 매크로 기능을 활용하는 특징이 있고, 내부 코드를 숨기는데 나름의 노력을 기울이고 있다는 것이 특징입니다. 이들의 사이버 위협 활동은 지속적으로 진행되고 있는데, 얼마 전 알약 블로그를 통해 포스팅됐던 [3.20 공격 조직의 최신 오퍼레이션 '코인 매니저 (Coin Manager)'] 내용의 연장선이라 할 수..

악성코드 분석 리포트 2018. 1. 31. 20:46