ÃÖ±Ù ¸Å¿ì È°¹ßÇÏ°Ô ´ë³² »çÀ̹öÀ§Çù È°µ¿ °¨Çà...doc ¿öµå ±â¹Ý °ø°Ý ÀÚÁÖ ÆîÃÄ
[º¸¾È´º½º ±Ç ÁØ ±âÀÚ] ºÏÇÑ ÃßÁ¤ ÇØÅ·±×·ìÀÎ ¡®±è¼öÅ°((Kimsuky)¡¯ Á¶Á÷ÀÇ »çÀ̹ö°ø°ÝÀÌ ¿¬ÀÏ °è¼ÓµÇ°í ÀÖ´Ù. Áö³ 2¿ù 26ÀÏ°ú 27ÀÏ¿¡ À̾î 3¿ù 3ÀÏ¿¡µµ ¡®ºñ°Ç ¹Ì±¹ ±¹¹«ºÎ ºÎÀå°ü ¼½Å 20200302.doc¡¯ ÆÄÀÏÀÌ Ã·ºÎµÈ ¾Ç¼º ¸ÞÀÏ °ø°ÝÀÌ ¹ß°ßµÆ´Ù.
º¸¾ÈÀü¹®±â¾÷ À̽ºÆ®½ÃÅ¥¸®Æ¼ÀÇ ESRC(½ÃÅ¥¸®Æ¼´ëÀÀ¼¾ÅÍ)¿¡ µû¸£¸é À̹ø °ø°ÝÀº Áö³ 2¿ù 26ÀÏ ¡®Äڷγª ¹ÙÀÌ·¯½º °ü·Ã ÀÌ»çÀå´Ô Áö½Ã»çÇס¯À̶ó´Â À̸ÞÀÏ Á¦¸ñÀ¸·Î °¨ÇàµÈ ½ºÇǾî ÇǽÌ(Spear Phishing) °ø°Ý°ú µ¿ÀÏÇÑ °ø°Ý Ä·ÆäÀÎÀ¸·Î ºÐ¼®µÆ´Ù.
¡ãÁö³ 2¿ù¸» À¯Æ÷µÈ Äڷγª °ü·Ã ¾Ç¼º ¸ÞÀÏ°úÀÇ doc ¹®¼ ºñ±³È¸é[À̹ÌÁö=ESRC]
ÀÌ´Â ¡®½º¸ðÅ© ½ºÅ©¸°(Smoke Screen)¡¯À¸·Î ¸í¸íµÈ APT(Áö´ÉÇüÁö¼ÓÀ§Çù) °ø°Ý Ä·ÆäÀÎÀ¸·Î, ÇÑ±Û ÆÄÀÏÀÌ ¾Æ´Ñ MS ¿öµå(doc) ÆÄÀÏÀ» Ŭ¸¯À» À¯µµÇϱâ À§ÇÑ ¡®¹Ì³¢¡¯ ¾Ç¼º ÆÄÀϷΠ÷ºÎÇßÀ¸¸ç, ÇØ´ç °ø°Ý ÁÖü ¿ª½Ã ÀÌÀü°ú ¸¶Âù°¡Áö·Î ¡®±è¼öÅ°¡¯ Á¶Á÷À¸·Î ÃßÁ¤µÈ´Ù´Â ºÐ¼®ÀÌ´Ù.
ÃÖ±Ù µé¾î ¡®±è¼öÅ°¡¯ Á¶Á÷ÀÌ ÇѱÛ(hwp) Ãë¾àÁ¡ ¹®¼º¸´Ù MS ¿öµå(doc) ¹®¼ÆÄÀÏÀÇ ¸ÅÅ©·Î ±â´ÉÀ» Àû±Ø È°¿ëÇϴ Ư¡À» º¸ÀÌ°í ÀÖ´Ù´Â Á¡µµ ÁÖ¸ñÇÒ ¸¸ÇÏ´Ù. ´õ¿íÀÌ À̹ø °ø°Ý¿¡ »ç¿ëµÈ doc ¾Ç¼º ¹®¼ÆÄÀÏÀº ±âÁ¸ ¡®Äڷγª¹ÙÀÌ·¯½º ´ëÀÀ.doc¡¯ ÆÄÀÏ°ú µ¿ÀÏÇÏ°Ô ¸ÅÅ©·Î Çã¿ë À¯µµ µðÀÚÀÎÀ» ±×´ë·Î ÀçÈ°¿ëÇÑ °ÍÀ¸·Î ³ªÅ¸³µ´Ù. ¶ÇÇÑ, °¢°¢ÀÇ ¾Ç¼º ¹®¼ ÆÄÀÏÀº ¸¶Áö¸· ¼öÁ¤ °èÁ¤¸íÀÌ ¡®admin¡¯ À̸§À¸·Î µ¿ÀÏÇÏ°í, °ø°Ý¿¡ »ç¿ëµÈ ¸ÅÅ©·Î ÄÚµå ¿ª½Ã À¯»ç¼ºÀ» ¶ç°í ÀÖ´Â °ÍÀ¸·Î µå·¯³µ´Ù.
¡®ºñ°Ç ¹Ì±¹ ±¹¹«ºÎ ºÎÀå°ü ¼½Å 20200302.doc¡¯ ÆÄÀÏÀÌ Ã·ºÎµÈ ¾Ç¼º ¸ÞÀÏÀÇ °æ¿ì ÀÌ¿ëÀÚ°¡ º¸¾È °æ°íâÀ¸·Î ³ªÅ¸³ [ÄÜÅÙÃ÷ »ç¿ë] ¹öÆ°À» Ŭ¸¯ÇÏ°Ô µÇ¸é, VBA ¸ÅÅ©·Î Äڵ尡 ½ÇÇàµÇ¾î ¾ÇÀÇÀûÀÎ À¥»çÀÌÆ®·ÎÀÇ Á¢¼ÓÀ» ½ÃµµÇÏ°Ô µÈ´Ù. Áö³ ¹ø Äڷγª19 ¹®¼°¡ ÷ºÎµÈ ¾Ç¼º ¸ÞÀÏ °ø°Ý°ú ¸í·ÉÁ¦¾î(C&C) ¼¹ö ÁÖ¼Ò¸¦ ºñ±³ÇØ º¸¸é 2°÷ ¸ðµÎ ¹Ì¸®³× È£½ºÆÃÀ» »ç¿ëÇßÀ¸¸ç, ÇÏÀ§ ÁÖ¼Ò °æ·Îµµ Á¤È®ÇÏ°Ô ÀÏÄ¡ÇÑ´Ù´Â °Ô ESRC ÃøÀÇ ¼³¸íÀÌ´Ù.
¡ã[ÄÜÅÙÃ÷ »ç¿ë] ¹öÆ°À» Ŭ¸¯ÇØ ¾Ç¼º ¹®¼°¡ ½ÇÇàµÉ °æ¿ì º¸¿©Áö´Â ¹®¼ ȸé[À̹ÌÁö=ESRC]
¸¸¾à ¾Ç¼º ¹®¼°¡ ½ÇÇàµÇ°í, ÀÌ °úÁ¤¿¡¼ °ø°ÝÀÚ°¡ ÁöÁ¤ÇÑ ¡®search.hta¡¯ Äڵ尡 ÀÛµ¿ÇÏ¸é ¿¬¼âÀûÀ¸·Î ´Ù¸¥ ÆÄÀÏÀ» È£ÃâÇϸç, °¨¿°µÈ PCÀÇ ´Ù¾çÇÑ Á¤º¸µéÀ» ¼öÁýÇØ Àº¹ÐÈ÷ Å»ÃëÇÏ°Ô µÈ´Ù. ¶ÇÇÑ, Ãß°¡ ÆÄÀÏ ´Ù¿î·Îµå ±â´É°ú ÇÔ²² »ç¿ëÀÚ°¡ ÀÔ·ÂÇÏ´Â Å°º¸µå ³»¿ëÀ» ÀúÀåÇØ À¯ÃâÇÏ´Â Å°·Î±ë ½ºÆÄÀÌ ±â´Éµµ ¼öÇàÇÔÀ¸·Î½á »ç¿ëÀÚÀÇ Áß¿äÇÑ °³ÀÎÁ¤º¸°¡ À¯ÃâµÇ´Â ÇÇÇØ·Î À̾îÁú ¼ö ÀÖ´Ù.
ÀÌ¿Í °ü·Ã ±è¼öÅ° Á¶Á÷À» ¿À·£ ±â°£ ÃßÀûÇØ¿Â ESRC ÃøÀº ¡°±è¼öÅ° Á¶Á÷ÀÌ ÃÖ±Ù ¸Å¿ì È°¹ßÇÏ°Ô ´ë³² »çÀ̹öÀ§Çù È°µ¿À» ÇÏ°í ÀÖ´Â Á¡¿¡ ÁÖ¸ñÇÏ°í ÀÖÀ¸¸ç, doc ¿öµå ±â¹ÝÀÇ °ø°ÝÀ» Àû±ØÀûÀ¸·Î °¨ÇàÇÏ°í ÀÖ´Â Á¡À» ÁýÁß ºÐ¼®ÇÏ°í ÀÖ´Ù¡±¸ç, ¡°ÇöÀç ¾Ë¾à¿¡¼´Â ÇØ´ç ¾Ç¼ºÄڵ忡 ´ëÇØ Trojan.Downloader.DOC.Gen µîÀ¸·Î ŽÁöÇÏ°í ÀÖ´Ù. À¯»ç À§Çù¿¡ »ç¿ëµÈ µµ±¸¿Í ħÇØÁöÇ¥(IoC) µîÀ» ¡®¾²·¿ ÀλçÀ̵å(Threat Inside)¡¯ À§Çù ÀÎÅÚ¸®Àü½º ¸®Æ÷Æ®¸¦ ÅëÇØ Á¦°øÇÒ °èȹ¡±À̶ó°í ¹àÇû´Ù.
[±Ç ÁØ ±âÀÚ(editor@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>