대북 관련 특정인을 타겟으로 하는 악성 워드 문서
APT

대북 관련 특정인을 타겟으로 하는 악성 워드 문서

ASEC 분석팀은 안보 및 대북 관련 특정인을 타겟으로 하는 악성 워드 문서가 지속적으로 유포되고 있음을 확인하였다. 유포가 확인된 워드 문서의 파일명에는 대북 관련 인물의 이름이 포함된 경우가 다수 존재하여 해당 분야를 타겟으로 공격이 이루어지는 것으로 추정된다. 최근 확인된 워드 문서의 파일명은 다음과 같다. 날짜 파일명 7/18 (작성양식)2022년 광복절 경축사 전문가

  • 8월 19 2022
국내 기업 타겟의 FRP(Fast Reverse Proxy) 사용하는 공격 그룹
APT 악성코드

국내 기업 타겟의 FRP(Fast Reverse Proxy) 사용하는 공격 그룹

최근 외부에 노출된 취약한 서버를 시작으로 하여 침투한 공격자가 내부 네트워크까지 장악하는 침해 사고가 국내 기업들을 대상으로 빈번히 이루어지고 있다. 취약한 Atlassian Confluence 서버를 대상으로 하는 공격 사례 국내 의료기관의 취약한 서버를 대상으로 유포된 미터프리터(Meterpreter) 취약한 MySQL 서버를 대상으로 유포 중인 AsyncRAT 악성코드 이번 사례는 IIS 웹서버나 MS Exchange 서버

  • 8월 16 2022
공격자 메일에 회신한 경우에 외부 링크로 제공되는 워드문서 (Kimsuky)
APT

공격자 메일에 회신한 경우에 외부 링크로 제공되는 워드문서 (Kimsuky)

ASEC 분석팀은 대북 관련 내용의 악성 워드 문서가 꾸준히 유포되고 있음을 확인하였다. 확인된 워드 문서는 안랩 TIP에 공개된 “2021년 Kimsuky 공격 워드(word) 문서 사례 총 정리 분석 보고서” 및 ‘외교/안보 관련 내용의 워드문서 유포 중‘ 에서 공유한 워드 문서 유형과 더불어 mshta를 이용하는 유형이 확인되었다. 악성 워드 문서는 다음과 같이

  • 7월 26 2022
활발하게 유포 중인 BAT 스크립트 포함한 악성 한글문서 (북한/국방/방송)
APT 악성코드

활발하게 유포 중인 BAT 스크립트 포함한 악성 한글문서 (북한/국방/방송)

ASEC 분석팀은 한글 문서의 정상 기능(OLE 개체 연결 삽입)을 악용하는 APT 문서가 최근 활발하게 유포 중임을 확인하였다. 지난 3월 3일 소개한 “20대 대통령선거 선상투표 보도자료 가장한 악성 한글문서 유포” 사례 이후로 공격자는 국방, 대북, 방송 관계자들을 대상으로 지속적으로 악성 한글 문서를 유포하고있다. 20대 대통령선거 선상투표 보도자료 가장한 악성 한글문서 유포

  • 6월 10 2022
다양한 주제의 보도자료를 사칭한 Kimsuky 공격시도
APT

다양한 주제의 보도자료를 사칭한 Kimsuky 공격시도

ASEC 분석팀은 보도자료로 위장한 악성코드가 유포되고 있음을 확인하였다. 해당 악성코드는 실행 시 정상 문서 파일을 로드하고 악성 URL로 접속을 시도한다. 연결 성공 시 해당 페이지에 존재하는 스크립트가 실행되며 이는 <대북관련 원고 요구사항을 가장한 APT 공격시도 (Kimsuky) > 에서 확인된 VBS 코드와 유사한 유형인 것으로 확인된다. 현재 확인된 파일은 다음과 같다.

  • 5월 18 2022
Log4Shell 취약점을 악용하는 Lazarus 그룹 (NukeSped)
APT 취약점

Log4Shell 취약점을 악용하는 Lazarus 그룹 (NukeSped)

작년 12월 자바 기반의 로깅 유틸리티인 Log4j의 취약점(CVE-2021-44228)이 전 세계적으로 이슈가 되었다. 해당 취약점은 원격지의 자바 객체 주소를 로그 메시지에 포함시켜 Log4j를 사용하는 서버에 전송할 경우 서버에서 자바 객체를 실행할 수 있는 원격 코드 실행 취약점이다. Apache Log4j 2 취약점 주의 및 업데이트 권고 – ASEC BLOG Apache Log4j 2

  • 5월 11 2022