2024년 4월 APT 그룹 동향 보고서
2024 4월 보안 업체와 기관에서 공개된 분석 내용을 종합한 주요 APT 그룹의 사례는 다음과 같다. 1) APT28 (Forest Blizzard) 마이크로소프트 위협 인텔리전스 (Microsoft Threat Intelligence)는 러시아 기반의 위협 행위자인 APT28 활동에 대한 조사 결과를 공개했다.[1] 이 그룹은 2020년 6월(빠르면 2019년 4월)부터 윈도우 프린트 스풀러 권한 상승(Windows
2024년 3월 APT 그룹 동향 보고서
2024년 3월 보안 업체와 기관에서 공개된 분석 내용을 종합한 주요 APT 그룹의 사례는 다음과 같다. 1) Andariel 안랩 ASEC은 Andariel 그룹이 한국 자산 관리 솔루션 IMON Client, NetClient를 이용한 공격을 진행하고 있다고 공개했다.[1] 이들은 AndarLoader, Andardoor, ModeLoader 등의 자체 악성코드와 원격 관리 프로그램인 MeshAgent를 이용했다. 2) APT29
2024년 1월 APT 그룹 동향 보고서
1) APT28 트렌드 마이크로는 APT28 (Forest Blizzard, Pawn Storm) 그룹이 2022년 4월부터 2023년 11월까지 세계 각 지역에 Outlook 취약점 (CVE-2023-23397)을 이용한 Net-NTLMv2 해시 릴레이 공격을 실행했다고 공개했다.[1] 중동 및 아시아의 해킹된 이메일 계정을 이용해 외교, 에너지, 국방, 운송, 노동, 사회 복지, 금융, 지방 시의회, 중앙 은행, 법원, 국가
2023년 12월 APT 그룹 동향 보고
2023년 1월 보안 업체와 기관에서 공개된 분석 내용을 종합한 주요 APT 그룹의 사례는 다음과 같다. 1) Andariel 한국 경찰은 Andariel 그룹이 한국의 방위산업, IT 보안기업, 연구소, 교육 등 14개 곳을 공격했으며 랜섬웨어로 4월 7천 만원을 벌었다고 공개했다.[1] Cisco Talos 는 Andariel 그룹의 Operation Blacksmith 캠페인을 공개했다.[2] Andariel
후쿠시마 오염수 방류 내용을 이용한 CHM 악성코드 : RedEyes(ScarCruft)
ASEC(AhnLab Security Emergency response Center) 분석팀은 RedEyes 공격 그룹이 제작한 것으로 추정되는 CHM 악성코드가 최근 다시 유포되고 있는 정황을 포착하였다. 최근 유포 중인 CHM 악성코드는 지난 3월에 소개한 “국내 금융 기업 보안 메일을 사칭한 CHM 악성코드”[1] 와 유사한 방식으로 동작하며, 이번에도 RedEyes 그룹의 M2RAT 악성코드 공격 과정 중 “2.3. 지속성 유지
Backdoor를 유포하는 악성 LNK : RedEyes(ScarCruft)
AhnLab Security Emergency response Center(ASEC)은 CHM 형식으로 유포되던 악성코드[1]가 LNK 형식으로 유포되고 있는 것을 확인하였다. 해당 악성코드는 mshta 프로세스를 통해 특정 url 에 존재하는 추가 스크립트를 실행하여 공격자 서버로부터 명령어를 수신받아 추가 악성 행위를 수행한다. 확인된 LNK 파일은 공격자가 정상 사이트에 악성 코드가 포함된 압축 파일을 업로드하여 유포되고 있는 것으로
개인을 도청하는 RedEyes 그룹 (APT37)
1.개요 RedEyes(also known as APT37, ScarCruft, Reaper) 그룹은 국가 지원을 받는 APT 조직이며 주로 북한 이탈 주민, 인권 운동가, 대학 교수 등의 개인을 대상으로 공격을 수행한다. 이들의 임무는 특정인들의 일상을 감시하는 것으로 알려져 있다. ASEC(AhnLab Security Emergengy response Center)은 2023년 5월 RedEyes 그룹이 Ably 플랫폼을 악용한 Golang 백도어를 유포 및
링크 파일(*.lnk)을 통해 유포되는 RokRAT 악성코드 : RedEyes(ScarCruft)
AhnLab Security Emergency response Center(ASEC)은 지난 달 국내 금융 기업 보안 메일을 사칭한 CHM 악성코드를 유포한 RedEyes 공격 그룹(also known as APT37, ScarCruft)이 최근 LNK 파일을 통해 RokRAT 악성코드를 유포하는 것을 확인하였다. RokRAT 악성코드는 사용자 정보를 수집하고 추가 악성코드를 다운로드할 수 있는 악성코드로 과거 한글 문서 및 워드 문서를 통해
패스워드 파일로 위장하여 유포 중인 악성코드
AhnLab Security Emergency response Center(ASEC)은 지난 달 패스워드 파일로 위장하여 정상 문서 파일과 함께 압축 파일로 유포되는 악성코드를 확인하였다. 해당 유형의 악성코드는 정상 문서 파일을 함께 유포함으로써 사용자가 악성 파일임을 알아채기 어렵다. 최근 확인된 악성코드는 CHM과 LNK 형식으로, CHM의 경우 아래에 소개한 악성코드와 동일한 유형으로 같은 공격 그룹에서 제작한 것으로
국내 금융 기업 보안 메일을 사칭한 CHM 악성코드 : RedEyes(ScarCruft)
ASEC(AhnLab Security Emergency response Center) 분석팀은 RedEyes 공격 그룹(also known as APT37, ScarCruft) 이 제작한 것으로 추정되는 CHM 악성코드가 국내 사용자를 대상으로 유포되고 있는 정황을 포착하였다. 지난 2월에 소개한 RedEyes 그룹의 M2RAT 악성코드 공격 과정 중 “2.3. 지속성 유지 (Persistence)” 과정에서 사용된 명령어가 이번 공격에서도 동일한 형태로 사용된 것을 확인하였다.
