PDF

북한 연관 그룹 추정 PDF 문서를 이용한 APT 공격

PDF 문서를 이용한 북한 연관 그룹 소행으로 추정되는 타깃형 공격이 확인되었다. 공격 그룹은 김수키(Kimsuky) 혹은 탈륨(Thallium)으로 추정되지만, 이를 모방한 공격 그룹의 소행일 가능성도 있다. 관련 내용은 이미 언론에 보도된 내용이지만, 본 블로그에서는 공개되지 않은 IOC와 취약점 발현 환경 등의 분석 정보를 추가로 공개한다. 공격자는 PDF 문서 파일을 공격 미끼로 이용하였다. Adobe Acrobat 프로그램 취약점을 통해 PDF 문서에 포함되어 있는 악성 JavaScript를 실행하고, 시스템 메모리에 악성 EXE 파일 – 파일 번호 [2], [4]을 실행한다. Use-After-Free 취약점 CVE-2020-9715 을 이용한 것으로 보고…

어도비 리더 CVE-2013-0640 및 CVE-2013-0641 취약점 악용

어도비(Adobe)에서는 현지 시각으로 2월 13일 어도비 리더(Reader)와 아크로뱃(Acrobat)에 존재하는 취약점인 CVE-2013-0640 및 CVE-2013-0641를 악용한 타깃 공격(Targeted Attack)이 발생하였음을 보안 권고문 “Security Advisory for Adobe Reader and Acrobat“를 통해 밝혔다. 이 번에 발견된 2개의 어도비 리더와 아크로뱃 취약점은 기존에 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점으로 현재까지 해당 취약점들을 제거할 수 있는 보안 패치가 제공되지 않고 있다. ASEC에서 파악한 바로는 해당 제로 데이 취약점들은 아프가니스탄을 중심으로 한 중동 지역을 대상으로 한 타깃 공격(Targeted Attack) 형태로 이메일의 첨부 파일로 공격이 진행되었다. 어도비에서는 해당 취약점들에 영향을 받는 어도비 리더와 아크로뱃 버전들은 다음과 같음을 밝히고 있다. 윈도우(Windows) 및 맥킨토시(Macintosh) Adobe Reader XI (11.0.01 및 이전 버전) 윈도우(Windows) 및 맥킨토시(Macintosh) Adobe Reader X (10.1.5  및 이전 버전) 윈도우(Windows), 맥킨토시(Macintosh) 및 리눅스(Linux) Adobe Reader 9.5.3 및 이전 버전 윈도우(Windows), 맥킨토시(Macintosh) Adobe Acrobat XI (11.0.01 및 이전 버전) 윈도우(Windows), 맥킨토시(Macintosh)Adobe…

국내 방산업체 APT 공격 포착

 최근 취약한 PDF 파일이 국내 방산업체 직원을 사칭하여 내부 직원 대상으로 이메일 통해 유포된 것이 보고되었다. PDF 파일의 내용을 보면 알 수 있듯이 사회공학적 기법을 이용하여, 방산진흥본부에서 방산업체로 업무협조 문서를 발송한 것처럼 위장하고 있다. [그림 1] PDF 파일 내용 해당 PDF 파일은 지난 2012년 8월에 ASEC 블로그의 “이메일을 이용한 어도비 CVE-2009-0927 취약점 악성코드 유포“와 유사한 형태로 공격자는 방산업체로 수신되는 문서를 이용하여 꾸준히 APT 공격을 하는 것으로 보인다. 이러한 공격으로 인해 내부 기밀 정보가 외부 공격자에게 유출되는 피해가 발생할 수 있기 때문에 국가 기관 및 방산업체에서는 심각하게 받아들여지고 있다. 따라서, 이와 같은 보안 위협에 대한 대응이 필요하다. 방산업체 직원으로 사칭해서 유포된 이메일의 첨부파일은 다음과 같다. [그림 2] 이메일 첨부파일 “업무연락 근무시간 관련 업계 현황 조사 협조요청_20130130.pdf” 파일을 실행하면 아래와 같이 파일과…

ASEC 보안 위협 동향 리포트 2012 Vol.34 발간

안랩 ASEC에서 2012년 10월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.34을 발간하였다.  이 번에 발간된 ASEC 리포트는 2012년 10월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다. 1) 악성코드 이슈 10월에 발견된 취약한 한글 문서 파일 MS 워드, PDF 문서들의 취약점을 악용하는 악성코드 다수 발견 한글 소프트웨어의 제로데이 취약점 악용 악성코드 미국 대선 뉴스로 위장한 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷 플레임 악성코드 변형 miniFlame 변형 발견 윈도우 도움말 파일을 이용한 악성코드 유포 국방 관련 내용을 담은 취약한 한글 파일 연봉 계약서로 위장한 취약한 한글 파일 발견 한반도 정황 관련 내용의 취약한 한글 파일 발견 대만 기상청을 대상으로 한 타깃 공격 발견 이스라엘 정부 기관 대상의 타깃 공격 발생 국내 PC 사용자를 대상으로 유포된…

미국 대선 뉴스로 위장한 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷

ASEC에서는 2009년부터 웹 익스플로잇 툴킷(Web Exploit Toolkit)이라는 웹을 기반으로 하여 웹 브라우저(Web Browser)나 웹 기반 애플리케이션(Web Application)들에 존재하는 취약점들을 자동으로 악용하도록 제작된 툴킷의 위험성에 대해 언급하였다. 그리고 웹 익스플로잇 투킷의 한 종류인 블랙홀(Blackhole) 웹 익스플로잇 툴킷을 이용하여 실제 사회적 주요 이슈나 소셜 네트워크(Social Network)와 같은 일반 사람들이 관심을 가질 만한 내용들을 포함한 스팸 메일(Spam Mail)의 사회 공학(Social Engineering) 기법으로 악성코드 유포를 시도한 사례들이 다수 존재한다. 2012년 6월 – 스팸 메일과 결합된 웹 익스플로잇 툴킷 2012년 7월 – 링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷 2012년 8월 – 페이팔 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷 특히 올해 2012년 4분기에는 미국과 한국에는 대통령 선거라는 정치적인 중요한 이슈가 존재하다. 이러한 중요한 이슈를 악용하여 스팸 메일에 존재하는 악의적인 웹 사이트 링크로 유도하는 사례가 발견되었다. 이 번에 발견된 스팸 메일 사례에는 아래…