코인관련 내용의 워드문서를 이용한 APT 공격 (Kimsuky)
APT

코인관련 내용의 워드문서를 이용한 APT 공격 (Kimsuky)

ASEC 분석팀은 3월 21일 Kimsuky 그룹이 코인관련 내용의 워드문서로 APT 공격을 수행중인 것을 확인하였다. 공격에 사용된 미끼 문서는 총 3건이 확인되었으며 매크로 제작자 및 동작방식은 지난 3월 14일에 ASEC 블로그에 게시한 내용(제목: 제품소개서로 위장한 악성 워드 문서)과 동일하다. 3건 모두 정상적으로 작성된 워드문서를 바탕으로 악의적 매크로 코드를 추가하여 배포한 것으로

  • 3월 22 2022
탄소배출 전문기업 타겟 워드문서 공격
APT 악성코드

탄소배출 전문기업 타겟 워드문서 공격

ASEC 분석팀은 03월 18일 탄소배출 전문기업을 대상으로 문서형 APT 공격을 수행하는 정황을 포착하였다. 자사 ASD(AhnLab Smart Defense)에 수집된 로그에 따르면 피해 PC는 “ㅇㅇ ㅇㅇ 탄소 배출권 전문 연구소.doc”라는 악성 워드 문서를 웹 브라우저를 통해 다운로드한 것으로 추정된다. 악성 문서는 확보하지 못했지만 내부 매크로 코드에 의해 wscript.exe가 실행되는 구조로 추정된다. 확인된

  • 3월 18 2022
대북관련 원고 요구사항을 가장한 APT 공격시도 (Kimsuky)
APT

대북관련 원고 요구사항을 가장한 APT 공격시도 (Kimsuky)

ASEC 분석팀은 최근 대학원 교수를 대상으로 대북관련 원고 요구사항을 가장한 악성 워드(DOC) 문서를 유포한 정황을 확인하였다. 해당 워드 문서는 다음 이름으로 유포되었으며 문서 제목에서 언급된 카이마(KIMA)는 한국군사문제연구원에서 발행하는 안보, 국방, 군사 분야 전문 월간지 이름이다. 3월 월간 카이마 원고_요구사항.doc 공격자는 특정 대학에 소속된 교수를 대상으로 스피어 피싱 공격을 수행하였다. 악성

  • 2월 14 2022
악성 워드 문서 유포를 통한 APT 공격 시도 (External 연결 + VBA 매크로)
APT 악성코드

악성 워드 문서 유포를 통한 APT 공격 시도 (External 연결 + VBA 매크로)

ASEC 분석팀은 최근 방송사 기자를 대상으로 APT 공격 시도를 위한 악성 워드 문서 파일을 유포 중인 정황을 확인하였다. 메일 제목 및 본문은 아래와 같이 되어있으며, 첨부파일인 압축 파일 내부에는 워드 문서가 포함되어 있다. 파일명 : 사내 금융업무 상세내역.docx [그림 1] 메일 제목 / 본문 워드문서를 실행하면 아래와 같은 내용이 사용자에게

  • 2월 03 2022
메신저 프로그램으로 위장한 악성코드 주의
악성코드

메신저 프로그램으로 위장한 악성코드 주의

안랩에서는 최근 특정 정부의 지원을 받는 해킹그룹의 공격 활동을 포착하여 이를 알아보고자 한다. 발견된 위장 프로그램은 정상 페이지로 위장한 피싱 페이지나 공급망 공격을 통해 유포된다. 그림 1. 피싱 페이지 (1) 그림 2. 피싱 페이지 (2) 그림 3. 공급망 공격 피싱 페이지에 연결한 사용자가 각 페이지에서 다운로드 버튼을 클릭하면 메신저 설치

  • 12월 31 2021
대북 관련 한글문서(HWP) 유포 중
APT 악성코드

대북 관련 한글문서(HWP) 유포 중

ASEC 분석팀은 최근 대북 관련 악성 한글 문서 파일을 유포 중인 정황을 확인하였다. 동작 방식은 취약점이 아닌 문서 실행 시 노출되는 화면에 사용자 클릭을 유도하는 하이퍼 링크를 삽입하고, 이를 클릭 시 문서 내부에 포함된 실행 파일들이 동작하는 방식이다. 이처럼 문서 내부에 실행 파일들이 존재하는 것은 정상 한글문서에서도 확인되는 특징으로 개체

  • 12월 24 2021
Kimsuky 그룹의 APT 공격사례 (PebbleDash)
APT

Kimsuky 그룹의 APT 공격사례 (PebbleDash)

최근 ASEC 분석팀은 APT 공격을 시도하는 악성코드 동향을 지속적으로 파악하며 관련 내용을 공유하고 있다. 이번에 확인된 사례는 PebbleDash 백도어 악성코드를 이용한 공격 사례이며, 이외에도 AppleSeed, Meterpreter 및 추가적인 악성코드들의 로그를 확인할 수 있었다. PebbleDash 백도어 공격자는 다음과 같은 스피어 피싱 메일을 전송하여 사용자로 하여금 첨부 파일로 보여지는 링크를 클릭하여 압축

  • 12월 21 2021
Kimsuky 그룹의 APT 공격 분석 보고서 (AppleSeed, PebbleDash)
APT

Kimsuky 그룹의 APT 공격 분석 보고서 (AppleSeed, PebbleDash)

본 문서는 최근 Kimsuky 그룹에서 사용하는 악성코드들에 대한 분석 보고서이다. Kimsuky 그룹은 주로 스피어피싱과 같은 사회공학적 공격 방식을 이용하는데, 첨부 파일들의 이름으로 추정했을 때 공격 대상들은 주로 북한 및 외교 관련 업무를 수행하는 사용자들로 보인다. 자사 ASD 인프라의 감염 로그를 보면 공격 대상은 일반적인 기업들보다는 개인 사용자들이 다수인 것으로 확인되지만,

  • 11월 16 2021
대북 관련 본문 내용 악성 워드의 지속 유포 정황 확인
APT 악성코드

대북 관련 본문 내용 악성 워드의 지속 유포 정황 확인

  ASEC 분석팀은 대북관련 내용을 포함한 악성 워드 문서가 지속적으로 유포되고 있음을 확인하였다. 확인된 워드 파일에 포함된 매크로 코드는 이전에 게시된 < ‘수출용 골드바 매매 계약서’로 위장한 악성 워드문서> 에서 확인되었던 것과 유사하다. 최근 확인된 파일명은 아래와 같다. 중국의 군사전략 분석 및 미래 군사전략 전망.doc (10/25 확인) 질의서-12월 방송.doc (10/28

  • 10월 29 2021
북한 연관 그룹 추정 PDF 문서를 이용한 APT 공격
미분류

북한 연관 그룹 추정 PDF 문서를 이용한 APT 공격

PDF 문서를 이용한 북한 연관 그룹 소행으로 추정되는 타깃형 공격이 확인되었다. 공격 그룹은 김수키(Kimsuky) 혹은 탈륨(Thallium)으로 추정되지만, 이를 모방한 공격 그룹의 소행일 가능성도 있다. 관련 내용은 이미 언론에 보도된 내용이지만, 본 블로그에서는 공개되지 않은 IOC와 취약점 발현 환경 등의 분석 정보를 추가로 공개한다. 공격자는 PDF 문서 파일을 공격 미끼로 이용하였다.

  • 8월 06 2021