New variant of Konni RAT used in a campaign that targeted Russia Malwarebytes Labs의 보안 연구원이 Konni RAT을 통해 러시아를 노리는 현재 진행 중인 악성코드 캠페인을 발견했습니다. Konni RAT은 2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격에 악용되었습니다. 이 RAT은 지속적으로 진화하여 탐지를 피할 수 있었고, 타깃 시스템에서 임의 코드를 실행하고 데이터를 훔칠 수 있었습니다. Konni RAT는 Thallium, APT37로 알려진 북한 관련 공격자의 작업으로 추측됩니다. Malwarebytes의 전문가들은 러시아어로 작성된 무기화된 문서 2건을 발견했습니다...

국내외 보안동향 2021. 8. 31. 14:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 통일부 정착지원과의 모 사무관이 발송한 업무 내용처럼 위장한 해킹 이메일 공격이 등장해 각별한 주의가 필요합니다. 이번 스피어 피싱 공격은 08월 12일 한국의 대북 분야 종사자를 상대로 진행됐고, 이메일에는 “최근 유명인사를 노린 사이버 공격이 전방위로 진행되고 있어 사이버 안전에 유의를 부탁한다”는 본문과 함께 첨부된 ‘210811_업무연락(사이버안전).doc’ 악성 문서 파일을 열어 보도록 유인하는 특징이 있습니다. 최근 국내 사이버 보안 위협이 가중되고, 민관 사이버 위기 경보가 ‘정상’에서 ‘관심’ 단계로 격상 됨에 따라 공격자가 이 점을 노린 것으로 파악되며, 분석 결과 이번 통일부 사칭으로 유포된 DOC 문서 파일 내부에..

악성코드 분석 리포트 2021. 8. 13. 09:54

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 한국 공공기관을 노린 북한 연계 해킹그룹의 공격이 계속 발견되고 있는 가운데, 이번에는 김수키의 구글 블로그를 활용한 해킹 시도가 급증하고 있어 각별한 주의가 필요합니다. 지난 28일 수행된 이번 공격은 학술대회 참가 양식처럼 위장된 MS Word 문서 파일로 마치 보안 문서처럼 암호가 설정되어 있지만, 이는 보안 프로그램의 탐지를 회피하기 위한 목적으로 사용됩니다. 해당 문서는 전형적인 악성 매크로 기법이 적용돼 있고, ‘콘텐츠 사용’ 버튼을 허용할 경우 악성코드가 실행됩니다. 분석에 의하면, 악성코드가 작동하면 국내 중소기업의 홈페이지(daewon3765.○○○[.]com)와 1차 통신을 시도하고, 그다음 공격자들이 구축한 특정 ..

악성코드 분석 리포트 2021. 7. 1. 13:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 ‘탈륨’ 또는 ‘김수키’ 등의 이름으로 널리 알려진 北 연계 해킹 조직 소행으로 지목된 APT(지능형지속위협) 공격이 국내에서 연이어 발견되고 있어 각별한 주의가 필요합니다. 이번에 새롭게 발견된 APT 공격은 통일부를 사칭한 이메일 공격과 통일연구원을 사칭한 이메일 해킹 공격 유형 등입니다. 먼저 통일부 사칭 공격은 지난 06월 22일 수행됐고, 통일연구원을 사칭한 공격은 24일 포착됐습니다. 두 공격 모두 거의 동일한 시기에 ‘북한의 당 중앙위원회 제8기 제3차 전원회의 분석’ 주제와 관련된 내용처럼 수신자를 현혹하는 공통점이 발견됐습니다. 특히, 수신자들이 해당 이메일을 해킹 공격으로 의심하지 않도록 각 발신지 주소를 실제 통일..

악성코드 분석 리포트 2021. 6. 25. 14:30

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 외교부에서 발행한 것처럼 위장한 악성 파일이 발견되어 관련자들의 각별한 주의가 필요합니다. 해당 공격을 수행한 배후 세력으로는 북한 정부 지원 해커 조직인 ‘탈륨 (Thallium)’이 지목되었으며, 내부 문자열 암호화 방식이 기존 탈륨(Thallium) APT 조직의 ‘블루 에스티메이트 (Blue Estimate)’ 캠페인과 정확히 일치합니다. 이번 공격은 지난 4월에 발견된 ‘2021년 외교부 재외공관 복무 관련 실태 조사’ 관련 해킹 시도의 연장선에 있는 것으로 의심됩니다. 새로 발견된 악성 파일은 2021년 5월 7일 날짜로 발행된 외교부 대변인실 표지의 가판 뉴스가 담긴 정상 PDF 파일 내용을 사용함으로써 수신자의 의심을 최소화..

악성코드 분석 리포트 2021. 5. 7. 16:12

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 외교·안보·국방·통일 분야에 종사하는 전문가나 관계자를 겨냥한 이메일 해킹 시도가 국내에서 지속되고 있어 각별한 주의가 필요합니다. 국제사회에서 오래 전부터 북한 당국과 연계된 것으로 공식 언급되어 온 ‘탈륨’(Thallium)과 ‘라자루스’(Lazarus) 조직이 해당 공격의 배후 세력으로 지목되었습니다. 각 조직은 국내 특정 분야를 대상 삼아 은밀하게 사이버 위협 행위에 가담하고 있어 그 이면에 어떤 목적을 가진 것인지 의심스러운 상황입니다. 4월 현재까지 두 조직의 주요 활동 무대는 한국의 외교·안보·국방·통일 분야이며, 일부 방위산업이나 군사전문가들도 표적에 노출되는 것으로 관측됩니다. 공격은 주로 악성 DOC 문서를 이메일에 첨부..

악성코드 분석 리포트 2021. 4. 20. 10:33

최근 국내 유명 언론사, 민간 정책연구소, 전문 학회 등을 사칭해 안보·통일·외교 정책 분야 전문가를 대상으로 전 방위적 해킹 시도가 지속적으로 수행되고 있어 각별한 주의가 필요합니다. 이번 해킹 공격 배후 세력으로는 2021년 상반기 연이어 발생하는 위협 그룹 중 가장 활발한 움직임을 보이고 있는 ‘탈륨(Thallium)’ 조직이 다시 지목되었습니다. 이번 사건에 연루된 ‘탈륨’은 미국 마이크로소프트(MS)로부터 정식 고소를 당해 국제 사회에 주목을 받은 해킹 조직으로, 한국에서는 외교·안보·통일·국방 전현직 관계자를 주요 해킹 대상으로 삼아 사이버 첩보전 활동을 활발히 전개하며, 얼마전 통일부를 사칭한 피싱 공격도 이들 소행으로 확인된 바 있습니다. 탈륨 그룹은 주로 국내 외교 안보분야 전문가로 활동..

악성코드 분석 리포트 2021. 3. 10. 09:31

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 최근 탈륨(Thallium) 조직 소행으로 분석된 이메일 해킹 공격이 발견돼, 사용자의 각별한 주의가 필요합니다. 새롭게 발견된 이번 APT 공격은 마치 통일부 이메일처럼 발신지를 정교하고 교묘하게 조작한 수법이 특징이며, 보낸 이에 '통일부 ' 주소가 포함돼 사용자가 실제 통일부에서 보낸 것으로 착각할 가능성이 매우 높습니다. 공격자는 발신지 주소가 통일부 도메인처럼 보이도록 조작하기 위해 별도의 이메일 서버를 구축한 것으로 분석됩니다. 이메일 본문에는 통일부에서 발행한 것처럼 표현된 문서 첫 장의 이미지가 삽입되어 있고, 이미지 하단에는 통일연구원(KINU) 문서가 첨부되어 있는 것처럼 URL 링크가 삽입돼 클릭을 유도합니다. 얼핏 보기에..

악성코드 분석 리포트 2021. 2. 24. 13:57