북한

“「2021 평화∙통일 이야기 공모전」 참가 신청서” 제목의 한글문서 유포 (APT 추정)

ASEC분석팀은 특정 지자체의 문서를 위조한 한글 악성코드가 유포 중인 것을 확인했다. 해당 문서는 아래 [그림 1]과 같이 평화∙통일을 주제로 하고 있다. 문서 실행 시 내부 악성 OLE 개체에 의해 악성코드가 특정 경로에 생성되며 사용자가 문서를 클릭할 경우 실행된다. 해당 악성 문서에 대한 정보는 다음 [그림2]와 같다. 악성 문서는 다음 [그림 3]과 같이 악성 OLE 개체를 포함하고 있으며, 문서가 실행되면 OLE 개체 내부의 PE 파일(.exe) 악성코드가 특정 경로에 생성된다. 악성코드를 생성되는 경로는 다음과 같다. C:\Users[사용자명]\AppData\Local\Temp\HncApp.exe 생성된 파일을 실행시키기 위해 제작자는 문서…

북핵 관련 문서파일로 위장한 악성코드

 최근 북한과의 군사적 긴장 관계를 악용하는 악성코드가 발견되었다. 현재 남한과 북한은 개성공단 폐쇄 및 북한의 미사일 발사 위협 등으로 인해 군사적 위기감이 상당히 높은 상황이다. 이러한 분위기 때문에 실제로 파일을 실행하여 감염되는 사용자가 많을 것으로 보이므로 사용자의 각별한 주의가 요구되는 상황이다. [그림 1] MS워드 파일로 위장한 악성코드 특히 이번에 발견된 악성코드는 위와 같이 ‘차북핵 한국대응조치 결과가 나왔어요.exe’ 라는 파일명을 사용하고 있다. 그러나 MS워드 문서 파일 형식의 아이콘을 그대로 사용하고 있지만, 실제 파일 형식은 exe 실행 파일이다. 악성코드는 RAR 실행압축 파일로 제작되어 있으며, 해당 파일을 실행하면 12.hwp 한글 문서 파일과 다수의 PE 파일을 생성하는데 그 목록은 다음과 같다. <악성코드 실행 시 생성되는 PE파일 목록> C:DOCUME~1ADMINI~1LOCALS~1Tempgm.exe     C:WINDOWSsystem32SVKP.sys     C:Documents and SettingsAll UsersSysEVrc.hlp     C:Documents and SettingsAll UsersSysEVrc.exe     C:Documents and SettingsAll UsersSysEVrcdll.dll     해당 악성코드를 실행하면…

‘3.20 사이버 테러’ 관련 일부 보도의 사실과 다른 부분을 바로잡고자 합니다.

 최근 특정 방송사 및 일부 언론에서 보도한 ‘3.20 사이버 테러’와 관련하여 사실과 다른 부분이 많아 이를 바로잡고자 합니다. 특히 대중의 이해를 돕기 위해 쉽고 단순화하여 보도하는 과정에서 전문적 내용이 너무 포괄적으로 표현되었습니다. 이런 이유로 방송/금융 등 6개사에 대한 사이버 테러는 각기 다른 경로로 이루어졌음에도 모두 안랩의 책임인 것으로 보도되어 많은 오해를 낳고 있습니다. 이에 안랩은 보안 업계 1위 기업으로서 보안에 대한 불필요한 오해를 풀고 보안업계에 대한 정확한 사실을 알릴 필요가 있다고 판단해 아래와 같이 밝힙니다.   ‘3.20 사이버 테러’에는 안랩의 백신이 이용되지 않았습니다. 보도에는 ‘북한 해커들이 이용한 침투 통로는 백신 프로그램’이라거나 ‘북한이 백신 프로그램을 역이용한 것’이라고 표현했습니다. 또한 ‘사이버 테러에서 악성코드를 실어나른 것이 백신 프로그램’이라거나 ‘백신 프로그램을 변조’ 등의 표현도 있습니다. 그러나 이는 안랩에 해당되지 않는 내용입니다.  ‘3.20 사이버 테러’를 당한 6개사가 모두 안랩 제품을 사용하는 것은 아니며, 더구나 백신 프로그램의 변조는 안랩의 경우가 아닙니다.  안랩의 자산 및 중앙 관리서버(AhnLab Policy Center, APC)는 백신이 아닙니다….

ASEC 보안 위협 동향 리포트 2012 Vol.28 발간

안랩 ASEC에서 2012년 4월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.28을 발간하였다.  이 번에 발간된 ASEC 리포트는 2012년 4월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다. 1) 악성코드 이슈 악성 DOC 문서를 첨부한 스피어 피싱 메일 북한 광명성 3호 발사 및 핵 실험을 주제로 한 악성코드 4.11 총선 이슈에 발견된 악성코드 런던 올림픽 개최를 이용한 악성코드 핵 안보 정상회담 PDF 문서로 위장한 악성코드 사회공학 기법을 이용하여 유포되는 악성 HWP 파일 국내 주요 금융기관 피싱 사이트 다수 발견 페이스북을 통해 유포되는 보안 제품 무력화 악성코드 보안 제품의 업데이트를 방해하는 Host 파일 변경 악성코드 주의 보안 제품 동작을 방해하는 온라인 게임핵 변종 Mac OS를 대상으로 하는 보안 위협의 증가 윈도우, Mac OS를 동시에 감염시키는 악성코드 자바, MS 오피스…

김정일 위원장 사망을 악용한 악성 전자 문서 파일 유포

2011년 12월 20일 ASEC에서는 북한의 김정일 위원장의 사망을 악용한 애드웨어 유포를 알린지 얼마 되지 않아 해외 보안 업체인 트렌드 마이크로(Trend Micro)에서는 블로그 “Kim Jong Il Malicious Spam Found“를 통해 전자 메일의 첨부 파일로 취약점이 존재하는 전자 문서 파일이 유포 된 것을 공개하였다. 트렌드 마이크로에서 블로그를 통해 공개한 취약한 전자 문서 파일이 첨부된 전자 메일은 다음의 이미지와 동일한 형식을 가지고 있는 것으로 공개 하였다.   해당 전자 메일에 첨부된 어도비 아크로뱃 리더(Adobe Acrobat Reader) 파일은 CVE-2010-2883 취약점과 함께 아래 이미지처럼 파일 내부에는 2011년 4월에 발견된 CVE-2011-0611 취약점을 악용하는 어도비 플래쉬(Adobe Flash) 파일을 포함하고 있다. 해당 취약한 어도비 아크로뱃 리더 파일이 실행되면 아래 이미지와 같이 김정일 위원장의 사진과 함께 그의 일생과 관련한 내용들을 담고 있는 PDF 파일이 실행 된다.  그러나 해당 파일은…