Lazarus 그룹 DLL-Side Loading 기법 이용 (2)
AhnLab SEcurity intelligence Center(ASEC)은 “Lazarus 그룹 DLL-Side Loading 기법 이용”[1] 블로그를 통해 Lazarus 공격 그룹이 초기 침투 단계에서 다음 공격 단계 달성을 위해 정상 응용 프로그램을 이용한 DLL Side-Loading 공격 기법을 사용하는 방식들을 다루었다. 여기에서는 추가된 변종 DLL들과 감염 대상 검증 루틴을 다룬다. Lazarus 그룹은 국내 기업, 기관, 싱크탱크와 같은
공인 인증 솔루션(VestCert) 취약점 주의 및 업데이트 권고
취약 소프트웨어 및 개요 VestCert는 웹 사이트 이용 시 사용되는 공인인증서 프로그램으로, 국내 예티소프트사에서 제조한 Non-ActiveX 모듈이다. 이 프로그램은 시작 프로그램에 등록돼 있으며, 프로세스가 종료되더라도 예티소프트의 서비스(Gozi)에 의해 재실행되는 특징이 있어, 한 번 설치되면 프로세스에 항상 상주해 있으므로 취약점 공격에 노출될 수 있다. 따라서 최신 버전으로 업데이트가 필요하다. 취약점
라자루스 그룹이 사용한 안티 포렌식 기법
약 1년 전부터 라자루스 공격 그룹의 악성코드가 국내의 방산, 인공위성, 소프트웨어, 언론사 등 다수의 업체들에서 발견되고 있어, 안랩 ASEC 분석팀은 라자루스 공격 그룹의 활동 및 관련 TTP’s를 지속적으로 추적하고 있다. 본 글에서는 최근 사례 중 라자루스 그룹이 침해한 시스템에서 확인된 안티 포렌식 흔적과 내용을 공유하고자 한다. 개요 안티 포렌식 정의
국내 인터넷 커뮤니티 사이트에서 악성코드 유포 (유틸리티 위장)
ASEC 분석팀에서는 7월 23일 국내 유명 커뮤니티의 자료실에서 유틸리티 프로그램을 위장한 악성코드가 유포 중인 것을 확인하였다. 공격자는 공식 홈페이지에서 배포 중인 유틸리티의 실행파일에 악성 쉘 코드를 삽입 후 실행 흐름을 변조하는 방법으로 악성코드를 제작하였다. (정상파일의 빈 공간에 악의적 코드 삽입) 이번에 확인된 악성코드의 동작방식은 7월 15일에 ‘코로나 예측 결과’ 위장하여
Lazarus 그룹의 방위산업체 대상 공격 증가
Lazarus 그룹의 방위산업체 대상 공격이 지난달부터 증가하고 있다. 공격은 Microsoft Office Word 프로그램의 Office Open XML 타입의 워드 문서 파일을 이용하였다. (샘플 출처: 해외 트위터) Senior_Design_Engineer.docx – 영국 BAE 시스템즈 (5월 접수) Boeing_DSS_SE.docx – 미국 Boeing (5월 접수) US-ROK Relations and Diplomatic Security.docx – 국내 ROK (4월 접수) 문서 파일은
