º¸¾È´º½º â°£ 17ÁÖ³âÀ» ÃàÇÏÇÕ´Ï´Ù!!

Home > Àüü±â»ç

±è¼öÅ° ÇØÄ¿±×·ì, HWP¡¤DOC¡¤EXE º¹ÇÕ APT °ø°Ý ½Ç½Ã

ÀÔ·Â : 2020-06-03 10:08
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
ÃÖ±Ù °ø°Ýµé ºÐ¼®Çغ¸´Ï...¹®¼­ ÀÛ¼ºÀÚ ¹× Á¢¼Ó ÁÖ¼Ò µî µ¿ÀÏÇÑ °ø°Ý Áõ°Å ¹ß°ß

[º¸¾È´º½º ¿øº´Ã¶ ±âÀÚ] ƯÁ¤ Á¤ºÎ¿Í ¿¬°èµÈ °ÍÀ¸·Î ¾Ë·ÁÁø ±è¼öÅ°(Kimsuky) °ø°Ý±×·ìÀÇ »õ·Î¿î APT Ä·ÆäÀÎ °ø°Ý ¡®½º¸ðÅ© ½ºÅ©¸°(Smoke Screen)¡¯ÀÌ ¹ß°ßµÆ´Ù. º¸¾È±â¾÷ À̽ºÆ®½ÃÅ¥¸®Æ¼ÀÇ ½ÃÅ¥¸®Æ¼´ëÀÀ¼¾ÅÍ(ESRC)´Â ±è¼öÅ° °ø°Ý±×·ìÀÌ ÃÖ±Ù ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®ÀÇ ¡®doc ¹®¼­ÆÄÀÏ¡¯Àº ¹°·Ð Çѱ۰úÄÄÇ»ÅÍÀÇ ¡®hwp ¹®¼­ÆÄÀÏ¡¯, ±×¸®°í ¡®exe ½ÇÇàÆÄÀÏ¡¯±îÁö º¹ÇÕÀûÀ¸·Î »ç¿ëÇÏ°í ÀÖ´Â °ÍÀÌ È®ÀÎµÆ´Ù°í ¹àÇû´Ù.

[À̹ÌÁö=utoimage]


°ø°ÝÀÚµéÀº ¡®½ºÇǾî ÇǽÌ(Spear Phishing)¡¯ ´ë»ó¿¡ µû¶ó ¹®¼­Æ÷¸ËÀ» º¹ÇÕÀûÀÎ À§ÇùÀü¼úÀ» ¼öÇàÇÏ°í ÀÖ´Ù. ¶ÇÇÑ, ¹®¼­ÆÄÀÏ Çü½ÄÀÌ ¾Æ´Ñ º¸¾È ÇÁ·Î±×·¥Ã³·³ À§ÀåÇÑ ¡®exe ½ÇÇàÆÄÀÏ¡¯À» ±×´ë·Î »ç¿ëÇϱ⵵ ÇÑ´Ù.

doc ¹®¼­ Æ÷¸ËÀ» ÀÌ¿ëÇÑ °ø°Ý»ç·Ê ºÐ¼®
DOC ¾Ç¼º¹®¼­´Â óÀ½ ½ÇÇà ½Ã PROTECTED DOCUMENT ³»¿ëÀ» º¸¿©Áָ鼭, ¸¶Ä¡ ¹®¼­ÀÇ º¸¾È±â´É ¶§¹®¿¡ º»¹®ÀÌ ¾È º¸ÀÌ´Â °Íó·³ ¼ÓÀδÙ. ±×¸®°í ¡®ÄÜÅÙÃ÷ »ç¿ë¡¯ ¹öÆ°À» Ŭ¸¯ÇØ ¾Ç¼º ¸ÅÅ©·Î Äڵ尡 ÀÛµ¿Çϵµ·Ï À¯ÀÎÇÑ´Ù.

À̶§ »ç¿ëµÈ ¸ÅÅ©·Î À¯µµ Ç¥Áö µðÀÚÀÎÀº ´Ù¾çÇÏ°Ô ¹ß°ßÀÌ µÇ°í Àִµ¥, ESRC´Â 2018³â ´Ù¸¥ ¾Ç¼º¹®¼­(42867ae8cf56e803fed5682134d18f90)¿¡ º¸°íµÈ ¹Ù ÀÖ´Â °ÍÀ» ±è¼öÅ° °ø°Ý±×·ìÀÌ À¯»çÇÏ°Ô ¸ð¹æÇØ »ç¿ëÇÏ°í ÀÖ´Â °ÍÀ» È®ÀÎÇß´Ù°í ¼³¸íÇß´Ù. ÀÌ´Â Áö³­ 5¿ù 29ÀÏ °ø°³µÈ ¡®ºÏÇÑ ³» Äڷγª19 »óȲ ÀÎÅͺ䡯 ¹®°ÇÀ¸·Î »çĪÇÑ ±è¼öÅ° APT °ø°Ý¿¡¼­µµ µ¿ÀÏÇÏ°Ô »ç¿ëµÆ´Ù. ÀÌ¿Ü¿¡µµ ´Ù¾çÇÑ Á¾·ù°¡ ¹ß°ßµÇ°í ÀÖ´Ù.

ÇÑÆí, ¸¸¾à ÀÌ¿ëÀÚ°¡ º¸¾È °æ°í¸¦ ¹«½ÃÇÏ°í, ¡®ÄÜÅÙÃ÷ »ç¿ë¡¯ ¹öÆ°À» Ŭ¸¯ÇÒ °æ¿ì ¾Ç¼ºÄڵ尡 ½ÇÇàµÈ´Ù. ±×¸®°í Á¤»óÀûÀÎ º»¹® ³»¿ëÀ» º¸¿©ÁÖ¾î Á¤»óÀûÀÎ ¹®¼­·Î ¿ÀÀÎÇϵµ·Ï ¸¸µç´Ù. ÇØ´ç ¹®¼­ÀÇ ¸¸µçÀÌ´Â ¡®Robot Karll¡¯À̶õ »ç¶÷À¸·Î µÇ¾î Àִµ¥, ÀÌ °èÁ¤Àº ±è¼öÅ° °ø°Ý±×·ìÀÌ »ç¿ëÇÑ ´Ù¼öÀÇ Ä§ÇØ»ç°Ç¿¡¼­ ¸ñ°ÝµÇ°í ÀÖ´Ù.

¾Ç¼º ¹®¼­ÆÄÀÏÀÇ ³»ºÎ¿¡´Â ¡®VBA Äڵ塯°¡ Æ÷ÇԵǾî ÀÖ´Ù. HEX ½ºÆ®¸µÀ¸·Î ¼±¾ðµÈ µ¥ÀÌÅ͸¦ ASCII ÄÚµå·Î º¯È¯Çϸé Çѱ¹¼ÒÀçÀÇ Æ¯Á¤ ¸í·ÉÁ¦¾î(C&C) ¼­¹ö·Î Åë½ÅÀ» Çϵµ·Ï ÀÛ¾÷ ½ºÄÉÁÙ·¯¿¡ ¡®OneDrive¡¯ À̸§À¸·Î 3ºÐ¸¶´Ù ¹«±âÇÑÀ¸·Î ¹Ýº¹ÇÏ´Â Æ®¸®°Å¸¦ µî·ÏÇÑ´Ù. ÀÌ °ø°Ý ½ÃÄö½º´Â ÀÌ¹Ì ¡®ºÏÇÑ ³» Äڷγª19 »óȲ ÀÎÅͺ䡯 ¹®°ÇÀ¸·Î »çĪÇÑ ±è¼öÅ° °ø°Ý±×·ì °ø°Ý°ú 100% ÀÏÄ¡ÇÑ´Ù.

¡ãDOC ¹®¼­¸¦ ÀÌ¿ëÇÑ °ø°Ý »ç·Ê[À̹ÌÁö=ESRC]


hwp ¹®¼­ Æ÷¸ËÀ» ÀÌ¿ëÇÑ °ø°Ý ºÐ¼® »ç·Ê
2020³â 6¿ù 2ÀÏ¿¡´Â hwp ¹®¼­ Æ÷¸ËÀ» ÀÌ¿ëÇÑ ±è¼öÅ° °ø°Ý±×·ìÀÇ ¾Ç¼º ÆÄÀÏÀÌ ¹ß°ßµÆ´Ù. ÇØ´ç ¹®¼­´Â ¸¶Áö¸· ÀúÀå½Ã°£ ±âÁØÀ¸·Î 5¿ù 4ÀÏ Á¦ÀÛµÈ °ÍÀ¸·Î È®ÀεÆÀ¸¸ç, ÆÄÀϸíÀº ¡®µå·Ð(¹«ÀÎÇ×°ø±â) ÇöȲ ¹× °³¼±¹æ¾È.hwp¡¯ÀÌ´Ù. °ø°ÝÀÚ´Â µå·Ð ÇöȲ ¹× °³¼±¹æ¾È ÁÖÁ¦·Î »ç¿ëÀÚ¸¦ À¯È¤Çß´Ù.

hwp ¹®¼­ ³»ºÎ¿¡´Â Æ÷½ºÆ® ½ºÅ©¸³Æ®(Post Script) Äڵ带 Æ÷ÇÔÇÏ°í ÀÖÀ¸¸ç, ÀÎÄÚµùµÈ ½©Äڵ带 È£ÃâÇÑ´Ù.

¡ãÆ÷½ºÆ® ½ºÅ©¸³Æ® È­¸é[ÀÚ·á=ESRC]


Æ÷½ºÆ® ½ºÅ©¸³Æ®¿¡ Æ÷ÇÔµÈ ½©ÄÚµå´Â µðÄÚµù ·çƾÀ» ÅëÇØ ´ÙÀ½°ú °°Àº ¸í·ÉÁ¦¾î(C&C) ¼­¹ö·Î Åë½ÅÀ» ½ÃµµÇÒ ¼ö ÀÖµµ·Ï ÀÛ¾÷ ½ºÄÉÁÙ·¯¸¦ »ý¼ºÇÑ´Ù. ±×¸®°í Á¤»óÀûÀÎ hwp ¹®¼­ º»¹®À» º¸¿©ÁÖ¸ç, ÀÌ¿ëÀÚ°¡ ÀǽÉÇÏÁö ¾Êµµ·Ï ¸¸µç´Ù.

¡ãµðÄÚµù È­¸é[ÀÚ·á=ESRC]


doc ¹®¼­ ¶§¿Í ¸¶Âù°¡Áö·Î À̹ø¿¡µµ Àº¹ÐÈ÷ µî·ÏµÇ´Â ÀÛ¾÷ ½ºÄÉÁÙ·¯ À̸§Àº OneDriveÀ̸ç, À¯»ç °ø°Ý¿¡¼­µµ ²ÙÁØÈ÷ ¹ß°ßµÇ°í ÀÖ´Ù.

¡ãOneDrive À̸§À¸·Î µî·ÏµÈ ÀÛ¾÷½ºÄÉÁÙ·¯ È­¸é[ÀÚ·á=ESRC]


¸í·ÉÁ¦¾î(C&C) ¼­¹ö°¡ Çѱ¹ÀÇ ¡®boaz[.]kr¡¯ µµ¸ÞÀÎÀ̸ç, doc ¶§¿Í hwp ¶§°¡ Á¤È®È÷ µ¿ÀÏÇÏ´Ù. ¾Æ¿ï·¯ ÀÌ ¹æ½ÄÀº ±è¼öÅ° °ø°Ý±×·ìÀÇ ´ëÇ¥ÀûÀÎ À§Çù Ä·ÆäÀÎ Áß ÇϳªÀÎ ¡®½º¸ðÅ© ½ºÅ©¸°(Smoke Screen)¡¯¶§µµ »ç¿ëÇß´ø ¹æ½ÄÀÌ´Ù.

¡ã½º¸ðÅ© ½ºÅ©¸° °ø°Ý¿¡ »ç¿ëµÈ °ø°Ý ±â¹ý[ÀÚ·á=ESRC]


exe ½ÇÇà ÆÄÀÏÀ» ÀÌ¿ëÇÑ °ø°Ý ºÐ¼® »ç·Ê
°ø°ÝÀÚ´Â doc, hwp ¹®¼­¸¦ ÀÌ¿ëÇÑ APT °ø°Ý»Ó¸¸ ¾Æ´Ï¶ó, exe ½ÇÇàÆÄÀÏÀ» ÀÌ¿ëÇÑ °ø°Ýµµ ÇÔ²² »ç¿ëÇÑ´Ù. Áö³­ 4¿ù°æ¿¡ Á¦ÀÛµÈ ¾Ç¼º ÆÄÀÏÀº ¸¶Ä¡ AES256 º¹È£È­ ÇÁ·Î±×·¥Ã³·³ À§ÀåÇØ °ø°Ý¿¡ »ç¿ëµÆ´Ù. ÆÄÀϸíÀº ¡®AES256 Decryptor.exe¡¯À̸ç, ¾ÆÀÌÄÜ ¸®¼Ò½º´Â Çѱ¹¾î·Î Á¦À۵ƴÙ.

¡ãÇѱ¹¾î(Korean)·Î ¼³Á¤µÈ ¾ÆÀÌÄÜ ¸®¼Ò½º È­¸é[ÀÚ·á=ESRC]


¾Ç¼º ÆÄÀÏÀº ¾ÏȣȭµÈ ÆÄÀÏÀ» º¹È£È­ÇÏ´Â ±â´ÉÀ» °¡Áö°í ÀÖÀ¸¸ç, ¾ÇÀÇÀûÀÎ ±â´ÉÀ» °°ÀÌ ¼öÇàÇÑ´Ù. ½ÇÇàµÇ¸é ½ÇÁ¦ º¹È£È­ ±â´É È­¸éÀ» º¸¿©ÁÖ°í, º¹È£È­ ´ë»ó ÆÄÀÏ ¼±ÅÃÀ» ´ë±âÇÑ´Ù. °ø°ÝÀÚ´Â ¡®CIA Final Answer-Attachment.docx.enc¡¯ ¾ÏȣȭµÈ ÆÄÀÏÀ» °ø°Ý ´ë»óÀÚ¿¡°Ô °°ÀÌ º¸³»¾î ÆÄÀÏÀ» º¹È£È­Çϵµ·Ï À¯µµÇÑ´Ù. ½ÇÁ¦·Î º¹È£È­°¡ ÁøÇàµÇ¸é ÀϺΠÇì´õ°¡ ¼Õ»óµÈ »óÅÂÀÎ º¹±¸È­¸éÀÌ º¸¿©Áø´Ù. ±×·±µ¥ ÀÌ ¹®¼­ ÆÄÀÏÀÇ ¼Ó¼ºÀ» º¸¸é, doc ¹®¼­ ¶§¿Í µ¿ÀÏÇÑ ¡®Robot Karll¡¯ °èÁ¤ÀÌ µ¿ÀÏÇÏ°Ô ¹ß°ßµÈ´Ù. µû¶ó¼­ doc, hwp, exe °ø°ÝÀÌ ¸ðµÎ µ¿ÀÏÇÑ ¼Ó¼ºÀ¸·Î ¿¬°áµÈ´Ù´Â °ÍÀ» È®ÀÎÇÒ ¼ö ÀÖ´Ù. ±×¸®°í º¹±¸ ÇÁ·Î±×·¥Ã³·³ À§ÀåÇÑ ÀÌ ¾Ç¼º ÆÄÀϵµ µ¿ÀÏÇÑ ¡®boaz[.]kr¡¯ C2·Î Á¢¼ÓÀ» ½ÃµµÇÑ´Ù.

¡ãº¹±¸µÈ Á¤»ó ¹®¼­ÀÇ ¼Ó¼º Á¤º¸[ÀÚ·á=ESRC]


ESRC´Â ÀÌ¿Ü¿¡µµ ´Ù¾çÇÑ »ç·ÊÀÇ ±è¼öÅ°(Kimsuky) °ø°Ý±×·ìÀÇ APT °ø°ÝÀ» ¹ß°ßÇØ ´ëÀÀÇÏ°í Àִµ¥, ÀÌµé °ø°Ý±×·ìÀº ÃÖ±Ù Çѱ¹ ¹æÀ§»ê¾÷ü¿¡ ´ëÇÑ °ø°Ý°ú ¿Ü±³ ¹× ¾Èº¸ºÐ¾ß, ´ëºÏ´Üü¿¡ ¼ÓÇÑ ÁÖ¿ä ÀλçµéÀ» ÁýÁßÀûÀ¸·Î °ø°ÝÇÏ°í ÀÖ´Ù°í ¹àÇû´Ù. ¾Æ¿ï·¯ ƯÁ¤ Á¤ºÎ°¡ ¿¬°èµÈ APT °ø°Ý±×·ìµé¿¡ ´ëÇÑ À§ÇùÀÌ Áõ°¡ÇÏ°í ÀÖ´Â Áö±Ý, º¸´Ù ü°èÈ­µÈ ºÐ¼® ¹× ´ëÀÀÀÌ ¿ä±¸µÇ¸ç, ±¹°¡»çÀ̹ö¾Èº¸ Â÷¿øÀÇ ³ë·Â°ú ÅõÀÚ°¡ Áß¿äÇÑ ½ÃÁ¡À̶ó°í °­Á¶Çß´Ù.
[¿øº´Ã¶ ±âÀÚ(boanone@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
 ÇÏÀÌÁ¨ ÆÄ¿öºñÁî 23³â 11¿ù 16ÀÏ~2024³â 11¿ù 15ÀϱîÁö ¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ À§Áîµð¿£¿¡½º 2018 ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö
¼³¹®Á¶»ç
<º¸¾È´º½º>ÀÇ º¸¾ÈÀü¹® ±âÀÚµéÀÌ ¼±Á¤ÇÑ 2024³â ÁÖ¿ä º¸¾È Å°¿öµå °¡¿îµ¥ °¡Àå Æı޷ÂÀÌ Å¬ °ÍÀ¸·Î º¸´Â À̽´´Â?
Á¡Á¡ ´õ Áö´ÉÈ­µÇ´Â AI º¸¾È À§Çù
¼±°ÅÀÇ ÇØ ¸ÂÀº ÇÙƼºñÁò °ø°Ý
´õ¿í °­·ÂÇØÁø ·£¼¶¿þ¾î »ýÅ°è
Á¡Á¡ ´õ ´Ù¾çÇØÁö´Â ½ÅÁ¾ ÇÇ½Ì °ø°Ý
»çȸ±â¹Ý½Ã¼³ °ø°Ý°ú OT º¸¾È À§Çù
´õ¿í ½ÉÇØÁö´Â º¸¾ÈÀη ºÎÁ· ¹®Á¦
Á¦·ÎÆ®·¯½ºÆ®¿Í °ø±Þ¸Á º¸¾È
°¡¼ÓÈ­µÇ´Â Ŭ¶ó¿ìµå·ÎÀÇ Àüȯ°ú ÀÌ¿¡ µû¸¥ º¸¾ÈÀ§Çù
¸ð¹ÙÀÏ È°¿ëÇÑ º¸ÀÎÀÎÁõ È°¼ºÈ­¿Í ÀÎÁõº¸¾È À̽´
AI CCTVÀÇ ¿ªÇÒ È®´ë