Kimsuky

메신저 프로그램으로 위장한 악성코드 주의

안랩에서는 최근 특정 정부의 지원을 받는 해킹그룹의 공격 활동을 포착하여 이를 알아보고자 한다. 발견된 위장 프로그램은 정상 페이지로 위장한 피싱 페이지나 공급망 공격을 통해 유포된다. 메신저 설치 파일은 다음과 같이 NSIS를 사용하여 제작된 윈도우 운영체제 설치 프로그램이다. NSIS(Nullsoft Scriptable Install System) 널소프트(Nullsoft)사가 제작한 프로그램으로 스크립트 기반의 윈도우 운영체제용 설치 프로그램을 제작할 수 있는 도구 표 1. 용어 설명 (NSIS) NSIS를 사용하여 제작된 설치 프로그램은 파일 내부에 스크립트 파일 ‘[NSIS].nsi’이 존재한다. 스크립트 파일에 기록된 명령에 따라 시스템에 파일을 생성하면서 프로그램이 설치되는…

정상 문서 파일로 위장한 악성 코드 유포 (Kimsuky 그룹)

ASEC 분석팀은 지난 8월 20일부터 Kimsuky 그룹의 공격 정황을 다수 확인하였다. 파일명에 docx, pdf, txt 등 문서 확장자를 포함한 정상 파일로 위장하여 유포 중이며, 해당 악성코드는 정상 파일 드롭 및 실행, 감염 PC 정보 탈취, 추가 악성코드 다운로드를 수행한다. 해당 방식은 Kimsuky 그룹이 자주 사용하는 위장 방식과 동작 방식으로 국내 정부기관, 대학 교수 등을 대상으로 하는 APT 공격에 사용된다. 유포 파일명 유포 날짜 유포 파일명 2020/08/20 4.[아태연구]논문투고규정.docx.exe 2020/08/26 Button01_[2020 서울안보대화] 모시는 글.pdf.exe 2020/09/03 [양식] 개인정보이용동의서.txt.exe 해당 악성코드 유형은 리소스 영역에…

포털 사이트의 보안 프로그램으로 위장한 악성코드 주의

안랩에서는 최근 특정 국가의 지원을 받는 조직의 지능형 지속 공격 활동을 포착하여 이를 알아보고자 한다. [지능형 지속 공격(Advanced Persistent Threat, APT)] 장기간에 걸쳐 다양한 공격 기법을 활용해 피해자 몰래 주요 정보를 유출하고 시스템을 무력화하는 공격 발견된 위장 프로그램은 국내 유명 포털 사이트로 위장한 피싱 페이지를 통해 유포된다. [그림 1] 피싱 페이지(PC버전) [그림 2] 피싱 페이지(모바일 버전) 피싱 페이지는 접속한 웹 브라우저의 사용자 에이전트(User-Agent)에 따라 PC 버전과 모바일 버전으로 출력되며 공격 대상에게 보안 프로그램 또는 앱으로 위장한 악성코드의 다운로드를 유도한다. [피싱(Phishing)]…

Operation Moneyholic With HWP Document

안랩에서는 지난 8월 암호화폐 거래소와 이용자를 대상으로한 공격활동을 분석한 오퍼레이션 머니홀릭(Operation Moneyholic) 보고서를 발행했다. 오퍼레이션 머니홀릭(Operation Moenyholic) 조직은 해외에서 코니(KONNI)로 잘 알려져 있다. 최근 오퍼레이션 머니홀릭(Operation Moenyholic) 조직이 악성코드 유포를 위해 사용한 HWP 파일이 발견되어 이를 알아보고자 한다. [HWP Document] 한글과컴퓨터의 프로그램인 한글에서 사용하는 파일 형식으로 한글 문서 또는 HWP(Hangul Word Processor)라 불림 [스피어 피싱(Spear Phishing)] 특정인 또는 특정 조직을 대상으로한 맞춤형 공격 공격 대상의 사전조사 내용을 토대로하여 신뢰할 수 있는 위장 이메일을 발송하여 표적을 공격 발견된 HWP 파일은 스피어 피싱…

The “Kimsuky” Operation로 명명된 한국을 대상으로 한 APT 공격

2013년 9월 12일 새벽 러시아 보안 업체인 캐스퍼스키(Kaspersky)에서는 해당 업체 블로그 “The “Kimsuky” Operation: A North Korean APT?“를 통해 한국을 대상으로 한 고도의 APT(Advanced Persistent Threat) 공격이 발견되었음을 공개하였다. 해당 블로그에서는 총 31개의 악성코드 MD5 해쉬(Hash) 값을 공개하였으며, 공격자는 불가리아의 무료 이메일 서버스인 mail.bg 를 이용해 감염된 시스템에서 탈취한 데이터를 보관하고 있다고 밝히고 있다. ASEC에서는 해당 블로그에서 공개한 총 31개의 악성코드에 대해 2013년 6월부터 발견되고 있음을 파악하고 다양한 방안으로 대응을 진행 중에 있다. 아래 그래프는 이번에 캐스퍼스키에서 명명한 The “Kimsuky” Operation에서 공개된 31개의 악성코드들을 ASD(AhnLab Smart Defense)의 데이터 베이스에 다년간 축적된 데이터를 이용해 발견된 시기를 년도와 월별로 정리한 내역이다. 이번 한국을 대상으로한 The “Kimsuky” Operation로 명명된 APT 공격에 사용된 악성코드는 2009년 3월 최초로 발견되었으며, 4년 동안 동일한 형태의 다른 변형들이 발견되지 않았다. 그러나 2013년 6월 초를 시작으로 6월 한…