2024년 5월 APT 그룹 동향 보고서
2024년 5월 보안 업체와 기관에서 공개된 분석 내용을 종합한 주요 APT 그룹의 사례는 다음과 같다. 1) Andariel AhnLab SEcurity Intelligence Center(ASEC)은 Andariel 그룹의 한국에 대한 다양한 공격 사례를 공개했다.[1] Andariel 그룹의 과거 공격에 사용된 Nestdoor 백도어가 다시 확인되었다. Nestdoor는 C++로 개발된 악성코드로, 파일 업로드/다운로드, 리버스 쉘, 명령
MS-Office 수식 편집기 취약점을 이용해 설치되는 키로거 (Kimsuky)
AhnLab SEcurity intelligence Center(ASEC) 에서는 Kimsuky 공격 그룹이 최근 MS오피스에 포함된 수식 편집기 프로그램인 EQNEDT32.EXE 관련 취약점(CVE-2017-11882)을 악용해 키로거 악성코드를 유포한 내용을 확인했다. 공격자는 취약점을 사용해 mshta 프로세스로 악성 스크립트가 삽입된 페이지를 실행하는 방식으로 키로거 악성코드를 유포했다. mshta로 접속하는 페이지는 실제 http://xxxxxxxxxxx.xxxxxx.xxxxxxxx.com/images/png/error.php 로 “error.php” 파일명을 사용한다. 사용자는 [그림 2]처럼 “Not
국내 기업 대상 공격에 사용 중인 SmallTiger 악성코드 (Kimsuky, Andariel 그룹)
AhnLab SEcurity intelligence Center(ASEC) 에서는 최근 국내 기업들을 대상으로 SmallTiger 악성코드를 이용한 공격 사례들을 확인하여 대응하고 있다. 최초 침투 과정은 확인되지 않지만 공격자는 측면 이동 과정에서 기업 내부에 SmallTiger를 유포하였다. 공격 대상이 된 곳은 국내 방산업체, 자동차 부품 및 반도체 제조업 등이 확인되었다. 해당 공격은 2023년 11월에 최초로 확인되었는데 공격
한국 조직 노리는 Larva-24001 그룹의 Operation Thumb King 동향 보고서
요약 Operation Thumb King은 2023년 5월부터 한국을 공격 중인 사이버 위협 활동이다. 악성코드 구조, 파일 이름 등에서 기존 중국어 사용 위협 그룹과 유사하지만, 정확한 그룹은 확인되지 않아 임시 이름인 Larva-24001로 명명했다. LNK 파일을 이용한 공격도 발견되었지만, 대부분의 정확한 감염 방법이 확인되지 않았다. 악성코드 배포 방식은 3가지 유형으로
Cloud storage를 활용하는 APT 공격
AhnLab SEcurity intelligence Center(ASEC) 에서는 GoogleDrive, OneDrive, DropBox와 같은 클라우드 서비스를 사용하여 사용자의 정보를 수집하거나 악성코드를 유포하는 공격 사례를 꾸준히 공유하였다.[1][2][3] 공격자는 주로 악성 스크립트 및 RAT 악성코드, 디코이 문서 파일 등을 클라우드 서버에 업로드하여 공격을 수행한다. 업로드된 여러 파일들은 유기적으로 동작하여 다양한 악성 행위를 수행한다. 최초 유포 파일부터
Dora RAT을 이용한 국내 기업 대상 APT 공격 사례 분석 (Andariel 그룹)
AhnLab SEcurity intelligence Center(ASEC) 에서는 최근 국내 기업 및 기관을 대상으로 한 Andariel 그룹의 APT 공격 사례를 확인하였다. 공격 대상으로 확인된 조직들은 국내 제조업, 건설 업체 및 교육 기관이었으며, 백도어뿐만 아니라 키로거, 인포스틸러 그리고 프록시 도구들이 공격에 사용되었다. 공격자는 이러한 악성코드들을 이용해 감염 시스템을 제어하고 시스템에 존재하는 데이터를 탈취할 수
2024년 4월 APT 그룹 동향 보고서
2024 4월 보안 업체와 기관에서 공개된 분석 내용을 종합한 주요 APT 그룹의 사례는 다음과 같다. 1) APT28 (Forest Blizzard) 마이크로소프트 위협 인텔리전스 (Microsoft Threat Intelligence)는 러시아 기반의 위협 행위자인 APT28 활동에 대한 조사 결과를 공개했다.[1] 이 그룹은 2020년 6월(빠르면 2019년 4월)부터 윈도우 프린트 스풀러 권한 상승(Windows
사용자 정보를 탈취하는 CHM 악성코드 국내 유포
AhnLab SEcurity intelligence Center(ASEC)에서는 최근 사용자 정보를 탈취하는 CHM 악성코드가 국내 사용자를 대상으로 유포 중인 정황을 확인하였다. 유포 중인 CHM 은 과거부터 LNK, DOC, OneNote 등 다양한 포맷을 통해 꾸준히 유포되던 유형으로, 최근 동작 과정에 약간의 변화가 확인되었다. 연관 게시글(2023.06.16) 한글 문서 파일을 위장한 악성코드(Kimsuky)(2023.03.20) 사례비 지급 내용으로 위장한 OneNote
RokRAT 악성코드를 유포하는 LNK 파일 (수료증 위장)
AhnLab SEcurity intelligence Center(ASEC)은 백도어 유형의 악성코드를 유포하는 비정상적인 크기의 링크 파일(*.LNK)이 꾸준히 유포되고 있음을 확인하였다. 최근 확인된 링크 파일(*.LNK)은 국내 사용자, 특히 대북 관련 인사를 대상으로 유포하는 것으로 확인된다. 확인된 LNK 파일명은 다음과 같다. 국가정보 아카데미 8기 통합과정 수료증(최종본).lnk Gate access roster 2024.lnk 동북공정(미국의회조사국(CRS Report).lnk 설비목록.lnk 확인된 LNK 파일은
2024년 3월 APT 그룹 동향 보고서
2024년 3월 보안 업체와 기관에서 공개된 분석 내용을 종합한 주요 APT 그룹의 사례는 다음과 같다. 1) Andariel 안랩 ASEC은 Andariel 그룹이 한국 자산 관리 솔루션 IMON Client, NetClient를 이용한 공격을 진행하고 있다고 공개했다.[1] 이들은 AndarLoader, Andardoor, ModeLoader 등의 자체 악성코드와 원격 관리 프로그램인 MeshAgent를 이용했다. 2) APT29
