안녕하세요. 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. 특정 정부가 배후에 있는것으로 알려져 있는 국가기반 해킹그룹 일명 '라자루스(Lazarus)'는 지난 03월 해외의 암호화폐 거래소 및 핀테크 관련 회사를 공격시도했던 것으로 알려져 있습니다. 물론, 해외뿐만 아니라, 최근 한국의 특정 대상을 상대로 은밀한 스피어피싱(Spear Phishing) 공격이 포착된 바 있고, 알약 블로그에서는 '라자루스 최신 APT 작전 '배틀 크루저(Operation Battle Cruiser) 재등장' 내용으로 공개한 바 있습니다. 지난 03월 해외에서 보고되었던 악성파일은 당시 MS Word 문서포맷에 악성 매크로(Macro)코드를 삽입한 형태이며, 미끼(De..

악성코드 분석 리포트 2018. 11. 13. 10:24

이스트시큐리티의 CTI 조직인 시큐리티대응센터(이하 ESRC)는 정부 차원의 후원을 받는 공격자(State-sponsored Actor)가 수행한 최신 지능형지속위협(APT) 캠페인을 확인했습니다. 수년간 연속성이 유지되던 APT 징후가 일정 기간 포착되지 않을 경우, 위협그룹이 새로운 침투를 준비하고 있거나 최신 공격 기술개발에 집중하고 있는 단계일 가능성이 있습니다. 이번 사이버 위협의 배후로 알려진 조직은 일명 '라자루스(Lazarus)'로 널리 알려져 있으며, 이미 유사한 공격 사례가 지속적으로 보고되고 있습니다. ESRC에서는 금년에 국내외에서 포착된 여러 건의 작전을 연속시리즈로 공개한 바 있으며, 공격에 사용한 익스포트 함수, 파일명 등의 키워드를 활용해 '작전명 배틀 크루저(Operatio..

악성코드 분석 리포트 2018. 10. 23. 23:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2017년 중순 전후로 한국의 유명 커뮤니케이션 서비스를 이용해 다양한 맞춤형 표적공격이 등장했습니다. 이러한 방식은 일종의 소셜 네트워크 피싱(SNP:Social Network Phishing) 기법으로 분류할 수 있으며, ESRC에서는 이 위협그룹을 '금성121(Geumseong121)' 조직명으로 분류하고 있습니다. 공격대상은 주로 한국내 대북관련 분야에서 활동하는 인사들이며 공격은 매우 은밀하게 수행되었습니다. 초기에는 안드로이드 스마트폰 이용자가 주요 표적이 되었고, 안드로이드 악성앱(APK)을 유포하는데 사용되었습니다. 공격자는 이러한 공격방식을 도입해 활용하던 중 PC용 메신저 서비스 버전을 활용하는 이용자가 있다는 것을 인지..

악성코드 분석 리포트 2018. 2. 2. 10:58

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2017년 동안 한국의 특정 가상화폐 거래소를 대상으로 활동했던 이른바 정부 차원의 후원을 받는 것으로 추정되는 공격자(state-sponsored actor)가 2018년에는 글로벌을 상대로 공격을 시도하는 정황이 다수 포착되고 있습니다. 한국에서는 HWP 문서파일 취약점을 악용한 스피어피싱이 주로 활용된 반면, 해외는 DOC 문서 등의 매크로 기능을 활용하는 특징이 있고, 내부 코드를 숨기는데 나름의 노력을 기울이고 있다는 것이 특징입니다. 이들의 사이버 위협 활동은 지속적으로 진행되고 있는데, 얼마 전 알약 블로그를 통해 포스팅됐던 [3.20 공격 조직의 최신 오퍼레이션 '코인 매니저 (Coin Manager)'] 내용의 연장선이라 할 수..

악성코드 분석 리포트 2018. 1. 31. 20:46

■ 금융 소프트웨어 위장 작전명 코인 매니저 (Coin Manager) 안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 지난 2009년 7.7 DDoS 공격부터 2013년 3.20 금융사/언론사 전산망 대란, 2017년 한국 특정 가상화폐 거래소 공격까지 한국에서 발생하고 있는 주요 사이버 보안위협에는 다양한 공통점이 존재합니다. 해외의 보안업체들은 이 공격그룹에 대해 이른바 라자루스(Lazarus) 등의 고유 그룹명을 지정해 사용하고 있기도 합니다. 이들은 한국의 주요 정부기관, 언론사, 금융사, 대북단체, 민간기업 등 매우 다양한 분야에 걸쳐 수년 넘게 사이버 침투 활동을 유지하고 있으며, 지금도 현재 진행형이라 해도 절대 과언이 아닙니다. [그림 1] 과거 주요 사이버 위협 사례 201..

악성코드 분석 리포트 2017. 12. 19. 02:08

DHS and FBI issue alert about North Korean 'Hidden Cobra' hackers 13일, 미국의 국토안보부(DHS)와 미국연방조사국(FBI) 연합은 DeltaCharlie 악성코드 패밀리에 대한 보고서를 발표하였습니다. 보고서에서는 이 악성코드 패밀리의 소유자(소위 Hidden Cobra조직)가 북한정부의 보호를 받고있다고 밝혔습니다. 지난 8년동안, 북한은 이 악성코드 패밀리를 이용하여 여러번의 DDoS 공격을 거행하였습니다. Hidden Cobra 조직은 2009년부터 활동을 하기 시작하였으며, 심지어 그보다 더 이른 2007년부터 사이버 스파잉 및 테러 활동에 참가한 것으로 추정되고 있습니다. 이번에 발표한 주의공지에서는 해당 조직과 관련된 정보와 DeltaCh..

국내외 보안동향 2017. 6. 20. 13:22