■ 기업 거래내역서로 위장한 APT 공격 배경 안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 2018년 08월 10일경 마치 특정 기업의 거래내역 엑셀문서처럼 위장한 악성코드가 스피어피싱(Spear Phishing) 기법으로 유포된 정황이 포착되었습니다. ESRC는 공격에 활용된 자료들을 조사 중에 몇 가지 흥미로운 단서를 발견했습니다. 공격자는 자신의 신분을 숨기기 위해 마치 한국의 특정 포털사처럼 유사한 정보를 사용했으며, 세무회계 사무소 담당자로 위장했습니다. 또한, 한국에서 주로 이용되는 압축 프로그램을 이용했고, 엑셀(Excel) 문서처럼 보이게 하기 위해 2중 확장자 기법을 활용했습니다. [그림 1] 공격 벡터 흐름도 ■ 공격 절..

악성코드 분석 리포트 2018. 8. 14. 15:55

최근 중국의 보안업체인 360은, APT-C-27 조직을 추적하던 중 새로운 공격 방식을 발견하였다고 밝혔습니다. 이 조직은 공격 타겟의 모바일을 감염시킨 후 모바일을 통해 사용자 PC에 RAT 공격을 진행합니다. 모바일을 통해 PC를 공격하는 첫번째 공격사례이기도 합니다. * APT-C-27(黄金鼠) APT-C-27 이란 명칭은 중국의 보안업체인 360에서 명명하였습니다. 이 공격조직은 2014년 처음 발견되었으며, 2014년 11월부터 지금까지 시리아 지역을 타겟으로 공격을 진행하는 APT 조직입니다. 공격과정 1) 모바일 악성코드는 PC의 PE형식의 RAT 공격파일인 "hmzvbs"를 포함하고 있습니다. 2) 모바일 악성코드는 실행된 후, 바로 PC를 타겟으로 하는 RAT 공격 파일인"hmzvbs"..

국내외 보안동향 2018. 7. 18. 15:59

■ 대북 분야 표적의 APT 공격 '물탱크 작전(Operation Water Tank)' 배경 안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 2018년 04월부터 05월까지 한국의 외교·안보·통일 분야의 연구를 수행하는 싱크탱크(Think Tank) 기관 및 대북단체, 군 관련 웹 사이트를 상대로 한 은밀한 워터링 홀(Watering Hole) 공격이 수행되었습니다. ※ 싱크탱크(Think Tank) 고유 전문 분야의 조사·분석·연구를 조직적으로 결집해 수행하고, 그로 인한 개발성과를 제공하는 것에 목적을 가진 연구집단을 의미하며, 주로 국가의 정책이나 기업의 경영전략을 연구한다. ※ 워터링 홀(Watering Hole) 공격 육식동물인 사..

악성코드 분석 리포트 2018. 5. 31. 11:16

Internet Explorer Zero-Day Exploited in the Wild by APT Group 최근 한 APT 그룹이 사용자들을 악성코드에 감염시키기 위해 인터넷 익스플로러의 커널 코드에 존재하는 제로데이 취약점을 악용하고 있는 것으로 나타났습니다. 최신버전의 IE브라우저 및 IE 커널을 사용하는 프로그램들 모두 해당 취약점의 영향을 받습니다. 취약점이 있는 사용자들은 악성 웹사이트 혹은 악성 office 파일을 여는 것 만으로도 악성코드에 감염될 수 있습니다. 보안 연구원들은 이 이슈를 발견해 마이크로소프트에 제보하였습니다. 인터넷 익스플로러 브라우저 최신 버전 영향 받아 보안 연구원들은 이 제로데이가 “double kill” 취약점을 사용하며 인터넷 익스플로러와 인터넷 익스플로러 커널..

카테고리 없음 2018. 4. 23. 16:59

Over 65,000 Home Routers Are Proxying Bad Traffic for Botnets, APTs 봇넷 운영자들과 APT 그룹들이 모든 현대의 라우터들에 포함 된 UPnP 프로토콜을 악용해 악성 트래픽을 프록싱하고 자신들의 실제 위치를 숨기는 것으로 나타났습니다. Akamai가 지난 월요일 발행한 보고서에서는 악성 공격자들이 은밀한, 또는 불법 행위를 위해 최소 65,000개의 라우터를 악용하여 프록시 네트워크를 생성했다고 밝혔습니다. 공격자들, UPnP 프로토콜 악용 Akamai에 따르면, 공격자들은 로컬 Wi-Fi가 활성화 된 기기와 쉽게 상호작용하고 인터넷에 포트와 서비스를 포워딩 할 수 있도록 하는 기능인 UPnP 프로토콜을 악용하고 있다고 밝혔습니다. UPnP 프로토콜은 ..

국내외 보안동향 2018. 4. 20. 14:20

Sophisticated Cyberspies Target Middle East, Africa via Routers 연구원들에 따르면, 해당 APT 조직은 2012년 부터 활동했으며, 가장 최근에는 올해 2월 공격을 진행하였습니다. 연구원들은, 해당 조직은 Slingshot 악성코드를 통해 사용자들을 감염시켰으며, 약 100명이 넘는 피해자들이 발생하였습니다. 대부분의 피해자들은 케냐, 예멘 이였으니, 아프간, 리비아, 콩고,요르단, 터키, 이라크, 술탄, 소말리아 및 탄자니아 등도 피해를 입었습니다. 이 공격은 주로 개인을 타겟으로 진행되었지만, 일부 공격은 정부기관 및 체인 커피숍을 타겟으로 하고있었습니다. Slingshot은 내부의 문자열에서 명명되었으며, 라우터 특히 Mirkrotik에서 제조한 라..

국내외 보안동향 2018. 3. 15. 11:08

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 지난 2013년 러시아 보안업체 카스퍼스키 랩(Kaspersky Lab)을 통해 처음 명명된 이른바 김수키(Kimsuky) 오퍼레이션은 2014년 한국의 보안업체 안랩(AhnLab) 등을 통해서도 널리 알려진 바 있습니다. 그런 가운데 김수키 작전은 2018년 현재까지도 꾸준한 활동을 유지하고 있는 것으로 확인되고 있어 각별한 주의가 요망됩니다. ▶ The “Kimsuky” Operation: A North Korean APT?▶ APT 공격 - 새로운 "Kimsuky" 악성코드 등장 약 5년이 지난 현재 김수키 계열의 보안위협은 새로운 방식으로 진화를 거듭하고 있습니다. ■ 오퍼레이션 김수키(Operation Kimsuky) 공격의 은밀한 공..

악성코드 분석 리포트 2018. 2. 12. 20:47

ネット銀行のID・パスワードが盗まれる被害が急増！ 「DreamBot」に感染させるメールが日本を標的に大量送信 최근 일본의 경찰청 사이버범죄부는 인터넷 악성코드 'DreamBot'의 감염피해가 10월 이후 급격히 증가하고 있다며 주의를 당부하였습니다. DreamBot에 감염되어 탈취 된 인터넷 뱅킹 계정들은 2017년 7월~9월에는 월 20건 정도였으나, 10월 이후 월 70건으로 증가했습니다. 일본사이버범죄대책센터(Japan Cybercrime Control Center： JC3)에 따르면, DreamBot 악성코드가 포함된 이메일이 일본을 타겟으로 대량 유포되고 있으며, 이로 인해 일본 내의 감염 피해가 확산되고 있다고 밝혔습니다. 악성 이메일은 실제 조직이나 서비스를 가장하고 있으며 악성 링크가 포함되어 있..

국내외 보안동향 2017. 12. 13. 13:59