The “Kimsuky” Operation로 명명된 한국을 대상으로 한 APT 공격 Posted By ASEC , 2013년 9월 12일 2013년 9월 12일 새벽 러시아 보안 업체인 캐스퍼스키(Kaspersky)에서는 해당 업체 블로그 “The “Kimsuky” Operation: A North Korean APT?“를 통해 한국을 대상으로 한 고도의 APT(Advanced Persistent Threat) 공격이 발견되었음을 공개하였다. 해당 블로그에서는 총 31개의 악성코드 MD5 해쉬(Hash) 값을 공개하였으며, 공격자는 불가리아의 무료 이메일 서버스인 mail.bg 를 이용해 감염된 시스템에서 탈취한 데이터를 보관하고 있다고 밝히고 있다. ASEC에서는 해당 블로그에서 공개한 총 31개의 악성코드에 대해 2013년 6월부터 발견되고 있음을 파악하고 다양한 방안으로 대응을 진행 중에 있다. 아래 그래프는 이번에 캐스퍼스키에서 명명한 The “Kimsuky” Operation에서 공개된 31개의 악성코드들을 ASD(AhnLab Smart Defense)의 데이터 베이스에 다년간 축적된 데이터를 이용해 발견된 시기를 년도와 월별로 정리한 내역이다. 이번 한국을 대상으로한 The “Kimsuky” Operation로 명명된 APT 공격에 사용된 악성코드는 2009년 3월 최초로 발견되었으며, 4년 동안 동일한 형태의 다른 변형들이 발견되지 않았다. 그러나 2013년 6월 초를 시작으로 6월 한…
국내 방산업체 APT 공격 포착 Posted By ASEC , 2013년 2월 1일 최근 취약한 PDF 파일이 국내 방산업체 직원을 사칭하여 내부 직원 대상으로 이메일 통해 유포된 것이 보고되었다. PDF 파일의 내용을 보면 알 수 있듯이 사회공학적 기법을 이용하여, 방산진흥본부에서 방산업체로 업무협조 문서를 발송한 것처럼 위장하고 있다. [그림 1] PDF 파일 내용 해당 PDF 파일은 지난 2012년 8월에 ASEC 블로그의 “이메일을 이용한 어도비 CVE-2009-0927 취약점 악성코드 유포“와 유사한 형태로 공격자는 방산업체로 수신되는 문서를 이용하여 꾸준히 APT 공격을 하는 것으로 보인다. 이러한 공격으로 인해 내부 기밀 정보가 외부 공격자에게 유출되는 피해가 발생할 수 있기 때문에 국가 기관 및 방산업체에서는 심각하게 받아들여지고 있다. 따라서, 이와 같은 보안 위협에 대한 대응이 필요하다. 방산업체 직원으로 사칭해서 유포된 이메일의 첨부파일은 다음과 같다. [그림 2] 이메일 첨부파일 “업무연락 근무시간 관련 업계 현황 조사 협조요청_20130130.pdf” 파일을 실행하면 아래와 같이 파일과…
대통령 선거 관련 내용을 담은 취약한 한글 파일 발견 Posted By ASEC , 2012년 10월 25일 ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 소프트웨어 존재하는 취약점들을 악용하여 악성코드 감염을 시도한 공격 사례들에 대해 여러 차례 공유 한 바가 있다. 특히 최근 1달 사이만을 살펴보더라도 아래와 같이 다수의 공격 사례들이 있어, 외부에서 유입되는 이메일에 첨부된 한글 파일을 열게 될 경우에는 각별한 주의가 필요하다. 2012년 10월 19일 – 국방 관련 내용을 담은 취약한 한글 파일 발견 2012년 10월 10일 – 한글 소프트웨어의 제로 데이 취약점 악용 악성코드 2012년 10월 09일 – 전자 문서들의 취약점을 악용하는 악성코드들 다수 발견 2012년 09월 21일 – 다양한 전자 문서들의 취약점을 악용한 악성코드 2012년 10월 24일, 다시 한글 소프트웨어에 존재하는 알려진 취약점을 악용하는 취약한 한글 파일 2건이 발견되었다. 이 번에 발견된 취약한 한글 파일 2건은 국내 유명 포털 웹 사이트에서 제공하는 메일 서비스의 이메일 주소 이용하고…
한글 소프트웨어의 제로 데이 취약점 악용 악성코드 Posted By ASEC , 2012년 10월 10일 ASEC에서는 그 동안 한글 소프트웨어에 존재하는 취약점들을 악용하는 악성코드 유포 사례들을 공개 한 바가 있다. 그리고 2012년 6월 15일에는 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점을 악용한 악성코드 유포 사례가 있음을 공개하기도 하였다. 2012년 10월 8일 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이 취약점을 악용하여 악성코드 유포를 시도한 사레가 다시 발견되었으다. 이 번에 발견된 제로 데이 취약점을 악용하느 취약한 한글 파일은 아래 이미지와 같은 내용을 가지고 있으며, 유포 당시에는 “한반도통일대토론회-120928.hwp (225,792 바이트)”라는 파일명을 사용하였다. 해당 취약한 한글 파일은 앞서 언급한 바와 같이 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이 취약점을 악용하고 있으며, 현재 한글과 컴퓨터에서 관련 보안 패치를 제공하지 않고 있다. 악용되는 취약점은 한글 소프트웨어에서 사용되는 HwpApp.dll에 존재하는 한글 문서 내용을 파싱 할 때 발생하는 힙 스프레이 오버플로우(Heap-spray Overflow)로 인한…
한글 소프트웨어의 취약점을 악용하는 악성코드 Posted By ASEC , 2012년 9월 4일 ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하는 취약점을 악용하는 악성코드 사례들을 다수 공개한 적이 있다. 2011년 10월 – 취약한 한글 파일을 악용한 악성코드 유포 2012년 6월 – 한글 제로데이 취약점을 악용한 악성코드 유포 2012년 6월 – 알려진 한글 취약점을 악용한 악성코드 유포 2012년 7월 – 지속적으로 발견되는 취약한 한글 파일 유포 2012년 7월 – 한글 취약점을 악용한 취약한 한글 파일 추가 발견 2012년 8월 – 다시 발견된 한글 취약점을 악용한 취약한 한글 파일 2012년 9월 3일 다시 한글 소프트웨어에 존재하는 취약점을 악용하는 취약한 한글 파일과 악성코드가 다시 발견되었다. 이 번에 발견된 취약한 한글 파일을 열게 되면 아래 이미지와 동일하게 “북한전문가와 대북전략가“라는 제목의 내용을 가지고 있다. 이 번에 발견된 취약한 한글 파일은 기존에 발견되었던 취약한 한글 파일들에서 자주 악용되었던 HncTextArt_hplg 관련 버퍼 오버플로우(Buffer Overflow) 취약점은 아니다….
