안녕하세요. 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. 특정 정부가 배후에 있는것으로 알려져 있는 국가기반 해킹그룹 일명 '라자루스(Lazarus)'는 지난 03월 해외의 암호화폐 거래소 및 핀테크 관련 회사를 공격시도했던 것으로 알려져 있습니다. 물론, 해외뿐만 아니라, 최근 한국의 특정 대상을 상대로 은밀한 스피어피싱(Spear Phishing) 공격이 포착된 바 있고, 알약 블로그에서는 '라자루스 최신 APT 작전 '배틀 크루저(Operation Battle Cruiser) 재등장' 내용으로 공개한 바 있습니다. 지난 03월 해외에서 보고되었던 악성파일은 당시 MS Word 문서포맷에 악성 매크로(Macro)코드를 삽입한 형태이며, 미끼(De..

악성코드 분석 리포트 2018. 11. 13. 10:24

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. ESRC에서는 지난 2018년 10월 31일 제작된 최신 APT공격용 악성파일을 다수 발견해 긴급 대응을 완료하였습니다. 이 악성파일들은 한국시간(KST) 기준으로 10월 31일 00시 48분경 부터 13시 15분경 사이에 집중적으로 빌드되었고, 감염 환경에 따라 32비트와 64비트용이 각각 다르게 생성됩니다. 특히, 이 악성파일들은 한국의 특정 보안제품 아이콘으로 위장하고 있으며, 해당 리소스와 그룹 아이콘 등의 언어가 한국어 코드(1042)로 설정되어 있고, 컴퓨터가 감염될 경우 시스템의 주요 정보와 키보드 입력내용, 사용자 계정 등의 민감 자료가 외부로 무단 유출될 수 있습니다. [그림 ..

악성코드 분석 리포트 2018. 11. 2. 01:44

■ 대북 분야 표적의 APT 공격 '물탱크 작전(Operation Water Tank)' 배경 안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 2018년 04월부터 05월까지 한국의 외교·안보·통일 분야의 연구를 수행하는 싱크탱크(Think Tank) 기관 및 대북단체, 군 관련 웹 사이트를 상대로 한 은밀한 워터링 홀(Watering Hole) 공격이 수행되었습니다. ※ 싱크탱크(Think Tank) 고유 전문 분야의 조사·분석·연구를 조직적으로 결집해 수행하고, 그로 인한 개발성과를 제공하는 것에 목적을 가진 연구집단을 의미하며, 주로 국가의 정책이나 기업의 경영전략을 연구한다. ※ 워터링 홀(Watering Hole) 공격 육식동물인 사..

악성코드 분석 리포트 2018. 5. 31. 11:16

■ 한국 맞춤형 표적공격 '작전명 스타 크루저(Operation Star Cruiser)' 배경 이스트시큐리티(ESTsecurity)의 CTI 전문 조직인 시큐리티대응센터(이하 ESRC)는 정부 차원의 후원을 받는 것으로 추정되는 공격자(State-sponsored Actor)가 수행한 최신 지능형지속위협(APT) 캠페인을 발견했습니다. 이 캠페인은 현재 한국 대상의 고도화된 위협 중 가장 왕성하게 활동하고 있으며, ESRC에서는 이들이 '금성121(Geumseong121) 위협그룹'과 직·간접적으로 연계된 APT 조직인 라자루스(Lazarus) 그룹으로 판단하고 있습니다. 이른바 '작전명 스타 크루저(Operation Star Cruiser)'로 명명된 이번 캠페인은 HWP 문서파일 취약점을 사용했는데..

악성코드 분석 리포트 2018. 4. 26. 00:31

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 이스트시큐리티 대응센터에서는 오퍼레이션 아라비안나이트를 수행했던 라자루스(Lazarus) 조직이 국내외에서 다양한 작전을 수행하고 있는 것을 확인했습니다. ▶ 오퍼레이션 아라비안 나이트 공격그룹 글로벌 활동 확대 ▶ 오퍼레이션 김수키(Kimsuky)의 은밀한 활동, 한국 맞춤형 APT 공격은 현재 진행형 ▶ 한국 메신저 등을 통해 유포된 Flash Player Zero-Day (CVE-2018-4878) 공격 주의 ▶ 문서파일 취약점을 활용한 파일리스(Fileless) 악성코드의 스텔스 위협 ▶ 3.20 공격 조직의 최신 오퍼레이션 '코인 매니저 (Coin Manager)' ▶ 문서파일 취약점 공격과 한국 가상화폐 거래자 대상 공격간의 연관성 ..

악성코드 분석 리포트 2018. 4. 11. 19:09