Lazarus 그룹의 방위산업체 대상 공격 증가
Lazarus 그룹의 방위산업체 대상 공격이 지난달부터 증가하고 있다. 공격은 Microsoft Office Word 프로그램의 Office Open XML 타입의 워드 문서 파일을 이용하였다. (샘플 출처: 해외 트위터) Senior_Design_Engineer.docx – 영국 BAE 시스템즈 (5월 접수) Boeing_DSS_SE.docx – 미국 Boeing (5월 접수) US-ROK Relations and Diplomatic Security.docx – 국내 ROK (4월 접수) 문서 파일은
포스트스크립트를 이용한 HWP 한글 문서 악성코드 주의
HWP 한글 문서를 이용한 악성코드가 4월부터 눈에 띄게 증가하고 있다. HWP 한글 문서 악성코드는 코로나19 관련 감염병관리지원단을 위장하여 전라남도, 인천광역시 등 다수 지역 이름으로 유포되었고, 며칠 전에는 한국수력원자력 채용 공고 문서로도 유포되었다. 공격자는 정상적인 만들어진 한글 문서에 악성 Encapsulated PostScript (EPS) 파일 개체를 삽입하였다. (아래 그림에서 검은색 박스로 표시) 최근
kimsuky 그룹, 국회의원 선거기간 노린 공격정황 포착
어제(2020.04.09) 자사에서는 국회의원 선거관련 문서 형태의 악성코드가 유포 중임을 공개하였다. 해당 문서는 단독으로는 국회의원 선거관련 문서인지 알 수 없지만 다른 문서의 매크로를 통해 발현 됨을 확인하였다. 교묘하게 특정의 상황에서만 선거 관련 문서 내용이 확인 되도록 만들어져 특정 시스템을 타겟팅 했을 것으로 보인다.이 악성코드는 그간 알려진 kimsuky 그룹의 공격으로 확인되어 추가적인 내용을
‘코로나바이러스 대응 긴급조회’ 한글문서 악성코드 유포
ASEC분석팀은 ‘코로나바이러스 대응 긴급조회’로 위장한 악성 문서파일을 발견하였다. 과거 악성 문서파일들의 경우 Office 의 매크로 기능을 악용하여 사용자에게 콘텐츠 사용을 유도하는 방식을 주로 이용하였다. 감염병관리지원단 위장 악성 한글파일 그러나 이와 달리 4월 1일 발견된 문서 파일은 한글 파일을 사용하며, 전라남도 감염병관리지원단 을 사칭한 파일로 주의가 필요하다. 이 뿐만 아니라 인천광역시
