안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 지난 05월 22일 부동산 및 대기업 주식매매 관련 내용을 담은 스피어 피싱(Spear Phishing) 공격이 진행되었습니다. 해당 공격은 20개의 HWP, XLSX, JPEG 파일 등이 이메일에 직접 첨부되어 있고, 별도로 9개의 파일은 대용량 첨부파일 형태로 추가되어 있습니다. 공격자는 다수의 파일을 첨부해 수신자를 현혹하는데 이용했으며, 첫번째 보이는 '※(창고허득)경기 이천 율면 월포리.9980평.급18억.토목완.hwp' 문서 파일에 악성코드를 삽입해 두었습니다. ESRC는 이번 공격이 특정 정부와 연계된 것으로 알려져 있는 일명 '라자루스(Lazarus)' APT 조직이 배후에 있는 것으로 분석했습니다. 라자루스 조직은 최근까지 국내..

악성코드 분석 리포트 2020. 5. 27. 10:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 특정 정부 후원을 받는 것으로 추정되는 APT공격 조직인 라자루스(Lazarus)의 공격이 지속되고 있으며, 국내외 APT 공격 뿐만 아니라 최근에는 지속적으로 해외 방위 산업체를 타깃으로 공격을 지속 중입니다. ※ 관련글 보기 ▶ 코로나19 정국에도 ‘라자루스’ 그룹 소행 국내외 APT 공격 증가 주의보 (20.04.28) 지난 5월초에도 해외 방위 산업체를 타깃으로 하는 APT공격이 포착된 바 있고, 금일(5/15)도 역시 새로운 APT 공격용 악성문서 파일이 확인되었습니다. 금일 새롭게 발견된 파일은 ‘LM_IFG_536R.docx’, ‘BAE_JD_2020.docx’ ‘Boeing_AERO_GS.docx’ 들로 이 3개의 신규 악성 문서..

악성코드 분석 리포트 2020. 5. 15. 10:44

안녕하세요. ESRC(시큐리티 대응센터)입니다. 지난 27일 ESRC에서는 특정 정부 후원을 받는 것으로 추정되는 APT(지능형 지속 위협) 공격 그룹인 일명 ‘라자루스(Lazarus)’의 국내외 APT 공격이 활발히 진행되고 있는 것을 발견했습니다. [그림 1] 블록체인 소프트웨어 개발 계약서로 위장한 악성 이메일 화면 최근 발견된 APT 공격 중 라자루스가 위협 배후로 추정되는 공격은 아래와 같습니다. - 블록체인 소프트웨어 개발 계약서- 한미관계와 외교안보- 항공우주기업 채용관련 문서- 00광역시 코로나 바이러스 대응- 성착취물 유포사건 출석통지서 [그림 2] 한미관계와 외교안보 내용을 담고 있는 악성 워드 문서 화면 [그림 3] 미국과 인도의 항공우주기업 채용 문서로 위장한 악성파일 화면 특정 정..

악성코드 분석 리포트 2020. 4. 28. 16:31

New North Korean malware targeting ATMs spotted in India 북한 해커들이 ATM 기기에 삽입된 지불 카드 데이터를 기록하여 훔치는 새로운 악성코드를 개발해 사용한 것이 발견되었습니다. 카스퍼스키의 연구원들은 ATMDtrack라 명명된 새로운 악성코드가 인도 은행 네트워크에 2018년 여름에 설치되었다고 밝혔습니다. 이 새로운 공격은 악성코드의 확장된 버전인 DTrack을 사용하여 인도의 연구 센터 또한 노렸습니다. DTrack은 금융 관련 악성 행위보다는 스파이, 데이터 탈취에 집중했으며 일반적인 RAT 기능들을 포함하고 있었습니다. 북한 정부의 지원을 받는 해커 그룹과 관련돼 연구원들은 DTrack 패밀리로 추적하는 이 악성코드 변종이 모두 지난 2013년 한..

국내외 보안동향 2019. 9. 24. 11:15

■ 라자루스 위협은 현재 진행형 안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 지난 23일 금요일, 한국의 특정 암호화폐 거래소 가입회원 일부에게 스피어 피싱(Spear Phishing) 공격이 수행되었습니다. ESRC에서는 이와 관련된 전반적인 자료를 수집 분석하였고, 위협 배후에 '라자루스(Lazarus)' 조직이 가담하고 있는 것으로 파악했습니다. 이번 공격 역시 지난 20일 공개했던 【라자루스(Lazarus), 소명자료요구서로 위장한 '무비 코인' 캠페인 지속】 공격벡터의 연장선이며, 지속적인 공격이 수행되고 있다는 것을 알 수 있습니다. '무비 코인' 캠페인은 한국의 비트코인 거래자들을 집중 겨냥하고 있으며, HWP 취약점을 주무기로 쓰고 있습니다. [그림 1] 실제 공격에..

악성코드 분석 리포트 2019. 8. 30. 18:58

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 2019년 08월 13일 제작된 신규 악성 HWP 문서가 발견되었는데, 이번에는 국세청 관련 문서처럼 사칭한 공격이었습니다. 해당 악성코드를 조사해 본 결과, 지난 6월부터 7월까지 국내에서 지속적으로 발견되고 있는 '무비 코인(Movie Coin)' 시리즈로 분석되었습니다. 제목 마지막 저장시간 (UTC) 마지막 저장자 MD5 별지 제172호 서식 2019-08-13 02:32:05 User 7bece42a704800a6686cad43d3f5ee62 라자루스(Lazarus) APT 그룹의 오퍼레이션 '무비 코인' 시리즈 관련 글은 아래와 같고, 지난 6월부터 8월까지 지속적인 활동이 포착되고 있습니다. 이번까지 총 7번째 리포팅이 진행..

악성코드 분석 리포트 2019. 8. 20. 15:01

■ 라자루스 위장술 처음 도입된 '오퍼레이션 이미테이션 게임' 안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 특정 국가차원의 명령을 받아 은밀하게 진행되는 APT(지능형지속위협) 캠페인이 다양하게 발견되고 있는 가운데, 매우 흥미로운 스피어 피싱(Spear Phishing) 공격 사례를 포착하였습니다. ESRC는 한국을 주요 공격대상으로 삼고 있는 APT 위협배후 중 '금성121(Geumseong121)' 조직이 마치 '라자루스(Lazarus)' 조직인 것처럼 위장한 교란 전술(False Flag) 흔적을 식별했습니다. 정부후원을 받는 각기 구분된 2개의 유명 해킹조직 '라자루스', '금성121'을 관찰하던 중 '금성121' 조직에서 상대 그룹 전술을 차용해 조작한 사례를 발견했..

악성코드 분석 리포트 2019. 8. 3. 00:18

암호화폐 거래소 회원 겨냥한 해킹 이메일 공격 지속… ‘라자루스’ 조직 소행 추정 안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. ESRC는 19일, 국내 특정 암호화폐 거래소 회원들을 대상으로 한 이메일 해킹 공격 시도가 지속적으로 포착되고 있음을 발견했습니다. [그림 1] 스피어 피싱 공격에 사용된 이메일 화면 File Name MD5 제복인 경찰대학 예상 문제 3회.hwp c577849fed8f815ffb53163976aca001 회장님 개명.hwp cadd2b04166499db6065128f4dc97c39 중고폰매각 공고문_19년 7차.hwp 7d1d7ffee0e2f2778dc6e941bcafbd08 이 이메일 해킹 공격은 지난 6월 경부터 국내에서 지속적으로 발생하고 있으며, ..

악성코드 분석 리포트 2019. 7. 19. 11:49