proxy

Kimsuky 그룹의 APT 공격 분석 보고서 (AppleSeed, PebbleDash)

본 문서는 최근 Kimsuky 그룹에서 사용하는 악성코드들에 대한 분석 보고서이다. Kimsuky 그룹은 주로 스피어피싱과 같은 사회공학적 공격 방식을 이용하는데, 첨부 파일들의 이름으로 추정했을 때 공격 대상들은 주로 북한 및 외교 관련 업무를 수행하는 사용자들로 보인다. 자사 ASD 인프라의 감염 로그를 보면 공격 대상은 일반적인 기업들보다는 개인 사용자들이 다수인 것으로 확인되지만, 공공기관이나 기업들 또한 지속적으로 공격 대상이 되고 있다. 대표적으로 국내 대학교들이 주요 공격 대상이며 이외에도 IT 및 정보 통신 업체, 건설 업체에서도 공격 이력을 확인할 수 있었다. 일반적으로 스피어피싱 공격…

MS11-073 워드 취약점을 악용한 타겟 공격 발생

2012년 2월 10일 미국 보안 업체인 시만텍(Symantec)에서는 블로그 “New Targeted Attack Using Office Exploit Found In The Wild“을 통해 마이크로소프트(Microsoft)에서 2011년 9월 공개한 보안 패치 “Microsoft Security Bulletin MS11-073 Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점 (2587634)” 취약점을 악용한 타겟 공격(Targeted Attack)을 발견되었음 공개하였다. 해당 MS11-073 취약점을 악용한 타겟 공격은 이메일을 통해 진행되었으며 ZIP으로 압축된 첨부 파일에는 아래 이미지와 같이 취약한 워드(Word) 파일과 fputlsat.dll(126,976 바이트)이 포함되어 있었다. 취약한 워드 파일을 fputlsat.dll(126,976 바이트)와 동일한 폴더에서 열게 되면 아래 이미지와 같은 워드 파일이 실행된다.  해당 취약한 파일이 실행되면 아래 이미지와 동일하게 fputlsat.dll(126,976 바이트)은 삭제되고 정상 Thumbs.db 파일이 생성된다. 그러나 실제로는 해당 취약한 워드 파일에 의해 윈도우 임시 폴더(Temp)에 ~MS2A.tmp(76,800 바이트)이 생성된다. 생성된  ~MS2A.tmp(76,800 바이트) 파일은 다시 윈도우 폴더(C:WINDOWS)와 윈도우 시스템 폴더(C:WINDOWSsystem32)에 iede32.ocx(13,824 바이트)을 생성하게 된다. 그리고 윈도우…