APT

Operation Moneyholic With HWP Document

안랩에서는 지난 8월 암호화폐 거래소와 이용자를 대상으로한 공격활동을 분석한 오퍼레이션 머니홀릭(Operation Moneyholic) 보고서를 발행했다. 오퍼레이션 머니홀릭(Operation Moenyholic) 조직은 해외에서 코니(KONNI)로 잘 알려져 있다. 최근 오퍼레이션 머니홀릭(Operation Moenyholic) 조직이 악성코드 유포를 위해 사용한 HWP 파일이 발견되어 이를 알아보고자 한다. [HWP Document] 한글과컴퓨터의 프로그램인 한글에서 사용하는 파일 형식으로 한글 문서 또는 HWP(Hangul Word Processor)라 불림 [스피어 피싱(Spear Phishing)] 특정인 또는 특정 조직을 대상으로한 맞춤형 공격 공격 대상의 사전조사 내용을 토대로하여 신뢰할 수 있는 위장 이메일을 발송하여 표적을 공격 발견된 HWP 파일은 스피어 피싱…

SafeSvcInstall, 4년 째 공격 시도 중

보통 APT (Advanced Persistent Threat)로 분류되는 위협은 지속적인 공격을 특징으로 꼽는다. 하지만, 공격자가 지속적으로 매번 새로운 공격 방식을 사용하는 경우는 드물다. 공격에 이용하는 악성코드 역시 보통 자신들의 악성코드를 조금씩 바꿔 공격에 이용한다.  이 글에서 언급한 Backdoor/Win32.Etso 변형도 예외가 아니다.  2014년 9월 표적공격(targeted attack)으로 추정되는 백도어 샘플을 분석하던 중 유사 악성코드를 이용한 공격이 2011년부터 진행되었음을 확인했다.    2011년 MS 워드 문서 취약점 (CVE-2010-3333)을 이용한 공격이 있었다.  취약점이 존재하는 MS 워드로 해당 RTF 파일을 열어보면 중국어를 포함한 문서 내용이 열린다.   취약점을 가진 워드에서 변조된 문서를 열면 dll 파일이 떨어지고 실행된 후 ~KB8467501.tmp 파일에 최종 감염된 백도어 코드를 쓴다.    시스템에는 최종적으로 KB01b80cc5.dll 등의 이름을 가진 백도어 파일에 감염된다. 국내에서도 2011년 봄 동일한 CVE-2010-3333 취약점을 이용한 공격이 존재했었다.    국내에 발견된 변형은…

2014년 예상 7대 보안 위협 트렌드 발표

– 악성코드와 공격기법의 고도화, 국가간 사이버보안 위협 증대, 침투경로의 다양화 등 사이버 공격이 더욱 교묘해지고 심화될 것으로 예측 안랩[대표 권치중, http://www.ahnlab.com]은 ‘2014년 예상 7대 보안 위협 트렌드’를 발표했다. 이에 따르면 2014년 예상되는 주요 이슈는 ►APT방식의 악성코드 고도화와 표적[target] 확대 ► 전자금융사기와 사이버범죄의 산업화 가속 ►악성코드 유포 방법의 다양화 및 고도화 지속 ►윈도XP 지원 종료에 따른 보안 위협 증가 ►특정 표적을 노린 소규모 모바일 악성코드 ►사이버 보안에 대한 국가적 인식 변화 ►펌웨어 업데이트에 악성코드 포함 시도 증가 등이다.   1] APT방식의 악성코드 고도화와 표적[target] 확대 2013년까지 기업이나 기관 등 특정 표적만을 노려 고도화된 악성코드를 이용해 정보유출이나 시스템 파괴를 노린 APT[Advanced Persistent Threat, 지능형 지속 공격] 공격이 큰 문제로 등장했다. 2014년에는 APT와 같은 지능형 공격의 표적이 확대되어, 일반 PC사용자를 노린 악성코드도 기존…

The “Kimsuky” Operation로 명명된 한국을 대상으로 한 APT 공격

2013년 9월 12일 새벽 러시아 보안 업체인 캐스퍼스키(Kaspersky)에서는 해당 업체 블로그 “The “Kimsuky” Operation: A North Korean APT?“를 통해 한국을 대상으로 한 고도의 APT(Advanced Persistent Threat) 공격이 발견되었음을 공개하였다. 해당 블로그에서는 총 31개의 악성코드 MD5 해쉬(Hash) 값을 공개하였으며, 공격자는 불가리아의 무료 이메일 서버스인 mail.bg 를 이용해 감염된 시스템에서 탈취한 데이터를 보관하고 있다고 밝히고 있다. ASEC에서는 해당 블로그에서 공개한 총 31개의 악성코드에 대해 2013년 6월부터 발견되고 있음을 파악하고 다양한 방안으로 대응을 진행 중에 있다. 아래 그래프는 이번에 캐스퍼스키에서 명명한 The “Kimsuky” Operation에서 공개된 31개의 악성코드들을 ASD(AhnLab Smart Defense)의 데이터 베이스에 다년간 축적된 데이터를 이용해 발견된 시기를 년도와 월별로 정리한 내역이다. 이번 한국을 대상으로한 The “Kimsuky” Operation로 명명된 APT 공격에 사용된 악성코드는 2009년 3월 최초로 발견되었으며, 4년 동안 동일한 형태의 다른 변형들이 발견되지 않았다. 그러나 2013년 6월 초를 시작으로 6월 한…

안랩 MDS(국내명:트러스와처), NSS의 정보유출 진단 테스트에서 높은 점수 획득

– 안랩 MDS, 94.7 퍼센트의 정보유출 방지 및 진단율을 기록 글로벌 정보보안 기업인 안랩[대표 김홍선, http://www.ahnlab.com]의 APT대응 전문 솔루션 ‘안랩 MDS [AhnLab Malware Defense System, 국내제품명 트러스와처]’가 권위있는 글로벌 독립 보안테스트 기관인 NSS Labs[www.nsslabs.com,이하 NSS]가 7월에 실시한 ‘정보유출 진단 제품 분석[Breach Detection System Product Analysis]’테스트에서 높은 점수를 획득했다.   최근 몇 개월 간, NSS는 미국 텍사스에 위치한 자사 연구소에서 APT성 공격으로 인한 정보유출 대응에 대한 심도있는 테스트를 실시했다. 이번 테스트는 인터넷 및 이메일로 전파되는 악성코드, 취약점, 보안제품 우회 악성코드 및 전체적인 정보유출 진단 및 치료에 대한 항목으로 실시되었다.   안랩MDS는 이번 장기간 테스트에서 94.7 퍼센트의 정보유출 방지 및 진단율을 기록해 높은 점수를 획득했다. 안랩 MDS는 신속한 악성코드 진단과 광범위한 전사 시스템 보호, 자동 치료 기능을 제공한다. 특히, 유일한 전용 하드웨어…