‘한미 합동 사이버 보안 권고’ 관련, 안랩 유사 대응 사례 Posted By choeyul , 2023년 6월 2일 6월 2일 오늘 대한민국 국가정보원(NIS)·경찰청(NPA)·외교부(MOFA)와 미합중국 연방수사국(FBI)·국무부(DoS)·국가안보국(NSA)은 북한 킴수키 조직의 스피어 피싱 공격과 관련한 합동 보안 권고문을 공개하였다. 전세계의 연구소·싱크탱크·학술기관·언론사 관계자들을 대상으로 사회공학적 기법을 악용한 컴퓨터 네트워크 탈취(CNE) 공격에 대한 경각심을 높이기 위함이라고 언급하였으며 주로 기자, 학자 또는 대북정책 그룹과의 연관성을 가진 개인들을 사칭하여 이메일을 통한 스피어피싱 공격을 수행하는 것으로 알려져 있다고 밝혔다. 제목: 북한 김수키 조직의 싱크탱크·학계·미디어 대상 사회공학적 기법을 악용한 해킹공격 보안 권고문: 대한민국 국가사이버안보센터 (NCSC) 바로가기 IOC가 공개되지는 않았으나, 공개된 내용과 유사한 김수키 해킹조직의 사회공학적 기법에 대해 AhnLab Security…
Kimsuky 그룹, ADS를 활용하여 악성코드 은폐 Posted By Vanish , 2023년 3월 24일 AhnLab Security Emergency response Center(ASEC)에서는 Kimsuky 그룹이 악성코드를 은폐하는데 ADS(Alternate Data Stream)를 활용하는 것을 확인했다. 해당 악성코드는 HTML 파일 내부에 포함된 VBScript를 시작으로 정보를 수집하는 Infostealer 유형이며 수많은 더미 코드 사이에 실제 코드가 포함된 것이 특징이다. 터미널에서 아래와 같은 명령어를 실행하여 정보를 수집하고 전송한다. hostname systeminfo net user query user route print ipconfig /all arp -a netstat -ano tasklist tasklist /svc cmd.exe” /c dir “C:\Program Files“ cmd.exe” /c dir “C:\Program Files (x86)” cmd.exe” /c dir “C:\ProgramData\Microsoft\Windows\Start Menu\Programs” cmd.exe” /c dir “C:\Users\Unknown\AppData\Roaming\Microsoft\Windows\Recent”…
Kimsuky 그룹, 약력 양식 파일로 위장한 악성코드 유포 (GitHub) Posted By Vanish , 2023년 3월 23일 AhnLab Security Emergency response Center(ASEC)에서는 특정 교수를 사칭하여 약력 양식 내용으로 위장한 워드 문서를 이메일을 통해 유포한 것을 확인했다. 확인된 워드 문서의 파일명은 ‘[붙임] 약력 양식.doc’이며 문서에는 암호가 설정되어 있는데 이메일 본문에 비밀번호가 포함되어 있다. 워드 문서 내에 악성 VBA 매크로가 포함되어 있으며 매크로 활성화 시 PowerShell을 통해 C2에 접속하여 추가 스크립트를 다운로드 및 실행한다. 최종적으로 실행되는 악성코드 유형은 뉴스 설문지로 위장하여 유포 중인 악성 워드 문서에서 확인된 유형과 일치하며 브라우저에 저장된 정보를 수집한다. 하지만,…
‘한독 합동 사이버 보안 권고’ 관련 안랩 대응 현황 Posted By Soojin Choi , 2023년 3월 20일 3월 20일 오늘 대한민국 국가정보원(NIS)과 독일 헌법보호청(BfV)은 킴수키(김수키) 해킹조직과 관련한 합동 보안 권고문을 발표하였다. 합동 보안 권고문에 따르면, 킴수키 해킹조직은 크로미움 브라우저 확장프로그램과 안드로이드 앱 개발자 지원 기능을 악용하여 계정정보 절취(탈취) 공격을 하였다. 한반도•대북 전문가를 주요 공격타깃으로 하고 있으나, 전 세계 불특정 다수로 공격이 확대될 수 있다고도 하였다. 안랩은 합동 보안 권고문에 공개된 침해지표(IoC) 파일을 다음과 같이 진단한다. 침해지표 MD5 진단명 엔진버전 012d5ffe697e33d81b9e7447f4aa338b 설정 파일로서 진단대상 아님 – 51527624e7921a8157f820eb0ca78e29 Backdoor/JS.Agent.SC182439 2022.11.02.03 582a033da897c967faade386ac30f604 Backdoor/JS.Agent.SC182438 2022.11.02.03 04bb7e1a0b4f830ed7d1377a394bc717 Android-Trojan/Kimsuky 2022.10.27.00 89f97e1d68e274b03bc40f6e06e2ba9a Android-Trojan/FastSpy 2022.10.28.05…