The “Kimsuky” Operation로 명명된 한국을 대상으로 한 APT 공격 Posted By ASEC , 2013년 9월 12일 2013년 9월 12일 새벽 러시아 보안 업체인 캐스퍼스키(Kaspersky)에서는 해당 업체 블로그 “The “Kimsuky” Operation: A North Korean APT?“를 통해 한국을 대상으로 한 고도의 APT(Advanced Persistent Threat) 공격이 발견되었음을 공개하였다. 해당 블로그에서는 총 31개의 악성코드 MD5 해쉬(Hash) 값을 공개하였으며, 공격자는 불가리아의 무료 이메일 서버스인 mail.bg 를 이용해 감염된 시스템에서 탈취한 데이터를 보관하고 있다고 밝히고 있다. ASEC에서는 해당 블로그에서 공개한 총 31개의 악성코드에 대해 2013년 6월부터 발견되고 있음을 파악하고 다양한 방안으로 대응을 진행 중에 있다. 아래 그래프는 이번에 캐스퍼스키에서 명명한 The “Kimsuky” Operation에서 공개된 31개의 악성코드들을 ASD(AhnLab Smart Defense)의 데이터 베이스에 다년간 축적된 데이터를 이용해 발견된 시기를 년도와 월별로 정리한 내역이다. 이번 한국을 대상으로한 The “Kimsuky” Operation로 명명된 APT 공격에 사용된 악성코드는 2009년 3월 최초로 발견되었으며, 4년 동안 동일한 형태의 다른 변형들이 발견되지 않았다. 그러나 2013년 6월 초를 시작으로 6월 한…
안랩 MDS(국내명:트러스와처), NSS의 정보유출 진단 테스트에서 높은 점수 획득 Posted By ASEC , 2013년 8월 2일 – 안랩 MDS, 94.7 퍼센트의 정보유출 방지 및 진단율을 기록 글로벌 정보보안 기업인 안랩[대표 김홍선, http://www.ahnlab.com]의 APT대응 전문 솔루션 ‘안랩 MDS [AhnLab Malware Defense System, 국내제품명 트러스와처]’가 권위있는 글로벌 독립 보안테스트 기관인 NSS Labs[www.nsslabs.com,이하 NSS]가 7월에 실시한 ‘정보유출 진단 제품 분석[Breach Detection System Product Analysis]’테스트에서 높은 점수를 획득했다. 최근 몇 개월 간, NSS는 미국 텍사스에 위치한 자사 연구소에서 APT성 공격으로 인한 정보유출 대응에 대한 심도있는 테스트를 실시했다. 이번 테스트는 인터넷 및 이메일로 전파되는 악성코드, 취약점, 보안제품 우회 악성코드 및 전체적인 정보유출 진단 및 치료에 대한 항목으로 실시되었다. 안랩MDS는 이번 장기간 테스트에서 94.7 퍼센트의 정보유출 방지 및 진단율을 기록해 높은 점수를 획득했다. 안랩 MDS는 신속한 악성코드 진단과 광범위한 전사 시스템 보호, 자동 치료 기능을 제공한다. 특히, 유일한 전용 하드웨어…
‘3.20 APT공격’ 관련 고객정보보호 후속조치 Posted By ASEC , 2013년 3월 26일 – 1차 : 25일 APT 트레이스 스캔 – 2차 : 주중 MBR 프로텍터 제공 – 3.20 APT 공격 노출 여부 및 잔여 흔적 추적하는 ‘APT 트레이스 스캔’ 고객사 제공 – 비상대응체제 유지 및 고객 피해 최소화 노력 지속 글로벌 보안 기업 안랩(대표 김홍선, http://www.ahnlab.com)은 오늘, 지난 3월 20일 14시경 발생한 특정 방송사/금융사 대상 APT 공격에 대한 ‘고객정보보호 후속조치’를 발표했다. 이는 안랩이 공격발생 당일인 3월 20일 17시 49분에 긴급 V3 엔진 업데이트 및 18시 40분에 전용백신을 배포한 데 이은 후속조치이다. 안랩이 발표한 고객정보보호 후속조치는 △3.20 APT 공격 노출 여부 및 잔여 흔적을 추적하는 ‘APT 트레이스 스캔(APT Trace Scan)’ 제공 △만약에 있을지 모르는 변종에 대비해PC부팅영역인 ‘MBR(마스터부트레코드)’ 보호를 위한 ‘MBR 프로텍터(MBR Protector)’ 제공 등이다. 안랩은 우선 25일부터 ‘APT 트레이스 스캔(APT Trace Scan)’을 고객사에 개별적으로 제공했다. APT 트레이스 스캔은 자신의 PC가 이번 ‘3.20 APT 공격’에 노출됐는지 여부와 공격 흔적을 확인하는 프로그램이다. 이는 안랩 고객사 중, 장애증상을 겪지 않았거나 공격 당일 엔진 업데이트 및 전용백신을 실행했어도 이번…
국내 방산업체 APT 공격 포착 Posted By ASEC , 2013년 2월 1일 최근 취약한 PDF 파일이 국내 방산업체 직원을 사칭하여 내부 직원 대상으로 이메일 통해 유포된 것이 보고되었다. PDF 파일의 내용을 보면 알 수 있듯이 사회공학적 기법을 이용하여, 방산진흥본부에서 방산업체로 업무협조 문서를 발송한 것처럼 위장하고 있다. [그림 1] PDF 파일 내용 해당 PDF 파일은 지난 2012년 8월에 ASEC 블로그의 “이메일을 이용한 어도비 CVE-2009-0927 취약점 악성코드 유포“와 유사한 형태로 공격자는 방산업체로 수신되는 문서를 이용하여 꾸준히 APT 공격을 하는 것으로 보인다. 이러한 공격으로 인해 내부 기밀 정보가 외부 공격자에게 유출되는 피해가 발생할 수 있기 때문에 국가 기관 및 방산업체에서는 심각하게 받아들여지고 있다. 따라서, 이와 같은 보안 위협에 대한 대응이 필요하다. 방산업체 직원으로 사칭해서 유포된 이메일의 첨부파일은 다음과 같다. [그림 2] 이메일 첨부파일 “업무연락 근무시간 관련 업계 현황 조사 협조요청_20130130.pdf” 파일을 실행하면 아래와 같이 파일과…
한글 파일 제로 데이(Zero-Day) 취약점 악용 공격 Posted By ASEC , 2013년 1월 29일 2012년도에는 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하는 취약점을 악용한 타깃 공격(Target Attack)이 예년에 비해 비교적 크게 증가하였다. 이 중에는 기존에 알려지지 않은 제로 데이(Zero Day, 0-Day)을 악용한 공격 형태도 2012년 6월과 11월에 발견될 정도로 한글 소프트웨어 취약점을 악용한 공격의 위험성이 증가하고 있다. 2012년 6월 – 한글 제로데이 취약점을 악용한 악성코드 유포 2012년 11월 – 국방 관련 내용의 0-Day 취약점 악용 한글 파일 이러한 한글 소프트웨어에 존재하는 기존에 알려지지 않은 제로 데이 취약점을 악용한 공격이 1월 25일경 다시 발견되었다. 이 번에 발견된 한글 소프트웨어의 제로 데이 취약점을 악용하는 취약한 한글 파일은 아래 이미지와 같이 다수의 개인 정보를 포함한 형태로 발견되었다. 해당 취약한 한글 파일은 아래 이미지와 동일한 같은 구조를 갖고 있으며, 이 중 “BinData” 항목의 “BIN0001.bmp” 라는 비정상적인 이미지를 파싱하는 과정에서 취약점이 발생하게 된다. 이로…
