Home > Àüü±â»ç

Çѱ¹ÀÎ °³ÀÎÁ¤º¸ ´ã±ä ÆÄÀÏ ÀÌ¿ëÇÑ APT °ø°Ý Æ÷Âø... ÝÁ ¡®ÄÚ´Ï¡¯ ¼ÒÇà ÃßÁ¤

ÀÔ·Â : 2022-12-11 23:38
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
¿ø°Ý ÅÛÇø´ ÁÖÀÔ ±â¼ú »ç¿ë...¡®Paypal¡¯ À̸§ÀÇ °èÁ¤¿¡¼­ ¼öÁ¤ È®ÀÎ
À̽ºÆ®½ÃÅ¥¸®Æ¼ ESRC, ºÏÇÑ Á¤ÂûÃѱ¹ ¹èÈÄ¿¡ ÀÖ´Â APT ±×·ì ¡®ÄÚ´Ï¡¯ ¼ÒÇà ÃßÁ¤


[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] ±¹³» ÀÌ¿ëÀÚÀÇ °³ÀÎÁ¤º¸°¡ ´ã±ä ÆÄÀÏÀ» ÀÌ¿ëÇÑ APT °ø°ÝÀÌ ¹ß°ßµÅ ÁÖÀÇ°¡ ÇÊ¿äÇÏ´Ù. À̹ø¿¡ ¹ß°ßµÈ °ø°Ý ÆÄÀÏÀº ¿öµå ¹®¼­(.docx) ÆÄÀÏ·Î, ÃÖ±Ù °ø°ÝÀÚµéÀÌ ÀÚÁÖ »ç¿ëÇÏ´Â ¿ø°Ý ÅÛÇø´ ÁÖÀÔ(Remote Template Injection) ±â¼úÀ» »ç¿ëÇß´Ù.

¡ã¾Ç¼º ¿öµå ÆÄÀÏÀÇ ¸ð½À[À̹ÌÁö=ESRC]


À̽ºÆ®½ÃÅ¥¸®Æ¼ ½ÃÅ¥¸®Æ¼´ëÀÀ¼¾ÅÍ(ÀÌÇÏ ESRC)¿¡ µû¸£¸é À̹ø¿¡ ¹ß°ßµÈ ¹®¼­ ÆÄÀÏÀº ¡®Paypal¡¯ À̸§ÀÇ °èÁ¤¿¡¼­ Áö³­ 6ÀÏ 19½Ã 26ºÐ°æ ¼öÁ¤µÈ °ÍÀ¸·Î È®ÀεƴÙ. ÀÌ ¹®¼­´Â ¿ø°Ý ÅÛÇø´ ÁÖÀÔ ±â¼úÀ» »ç¿ëÇØ ¡®k22012.c1[.]biz/paypal.dotm¡¯¿¡¼­ ¾Ç¼º ¸ÅÅ©·Î°¡ Æ÷ÇÔµÈ dotm È®ÀåÀÚÀÇ ÅÛÇø´ ÆÄÀÏÀ» ÀÚµ¿À¸·Î ´Ù¿î·ÎµåÇÏ°í ½ÇÇàÇÑ´Ù.

¡ãÀÚµ¿À¸·Î ´Ù¿î·Îµå µÇ´Â dotm ÆÄÀÏ[À̹ÌÁö=ESRC]


»ç¿ëÀÚ°¡ ¸ð¸£´Â »óÅ¿¡¼­ ¡®ÄÜÅÙÃ÷ »ç¿ë¡¯ ¹öÆ°À» ´­·¯ ¸ÅÅ©·Î ±â´ÉÀ» È°¼ºÈ­Çϸé, »ç¿ëÀÚ¿¡°Ô´Â ´ÙÀ½°ú °°Àº ÆÄÀÏÀÌ º¸ÀÌ¸ç ¹é±×¶ó¿îµå¿¡¼­´Â dotm ³» ¾Ç¼º ¸ÅÅ©·Î°¡ È°¼ºÈ­µÈ´Ù.

¡ã¸ÅÅ©·Î ½ÇÇà ÈÄ º¸¿©Áö´Â ¿öµåÆÄÀÏ[À̹ÌÁö=ESRC]


paypal.dotm ÆÄÀÏ ³»ºÎ¿¡´Â ¹®¼­ ÆùÆ®¸¦ °ËÀº»öÀ¸·Î º¯°æÇÏ°í, ¡®5645780.c1.biz¡¯¿¡¼­ ¡®.cab¡¯ È®ÀåÀÚÀÇ ¾ÐÃàµÈ Ãß°¡ ÆäÀ̷ε带 ´Ù¿î·ÎµåÇÑ´Ù. ÀÌÈÄ Ãß°¡·Î ³»·Á¹ÞÀº ÆÄÀÏÀÇ ¾ÐÃàÀ» ÇØÁ¦ÇÏ¸é ±× ¾È¿¡´Â ¡®check.bat¡¯¸¦ ½ÇÇàÇÏ´Â Äڵ尡 Æ÷ÇԵŠÀÖ´Ù.

¡ãpaypal.dotm ³» ¸ÅÅ©·Î ÄÚµå(ÁÂ)¿Í C&C¿¡¼­ ´Ù¿î¹ÞÀº cab ÆÄÀÏ ³»¿ë(¿ì)[À̹ÌÁö=ESRC]


¡®check.bat¡¯ Äڵ忡´Â ¡â°ü¸®ÀÚ ±ÇÇÑ È®ÀÎ ¡âOS Bit¿¡ µû¶ó °¢°¢ wpnprv32/64.dll ½ÇÇà µîÀÇ ¸í·É¾î°¡ Æ÷ÇԵŠÀÖ´Ù. wpnprv32/64.dll ¸ðµâÀº UAC Bypass ±â´ÉÀ» °¡Áø ±ÇÇÑ»ó½Â ¸ðµâ·Î check.batÀ» ÅëÇØ °ü¸®ÀÚ ±ÇÇÑÀ» È®ÀÎÇÑ´Ù. ¸¸ÀÏ ÇöÀç »ç¿ëÀÚ°¡ ¡®°ü¸®ÀÚ¡¯¶ó¸é trap.bat¸¦ ¹Ù·Î ½ÇÇàÇϸç, ¡®»ç¿ëÀÚ¡¯¶ó¸é wpnprv32/64.dll ¸ðµâÀ» ÅëÇØ ±ÇÇÑÀ» »ó½Â½ÃŲ ÈÄ, °ü¸®ÀÚ ±ÇÇÑÀ¸·Î ¡®trap.bat¡¯¸¦ ¹èÄ¡ ½ºÅ©¸³Æ®¸¦ Ãß°¡·Î ½ÇÇàÇÑ´Ù.

UAC´Â »ç¿ëÀÚ °èÁ¤ ÄÁÆ®·Ñ(User Account Control)·Î À©µµ¿¡¼­ Á¦°øÇÏ´Â º¸¾È±â´ÉÀ̸ç, ±ÇÇÑÀÌ ¾ø´Â ÇÁ·Î±×·¥ÀÌ ¹Ù·Î ½ÇÇàµÇÁö ¾Êµµ·Ï »ç¿ëÀÚ¿¡°Ô ½ÇÇà ¿©ºÎ¸¦ ¹¯´Â´Ù. ¾Ç¼ºÄÚµåµéÀº ·¹Áö½ºÆ®¸® º¯°æ µî ´Ù¾çÇÑ ¾Ç¼ºÇàÀ§¸¦ À§ÇØ °ü¸®ÀÚ ±ÇÇÑÀ» ÇÊ¿ä·Î ÇÏ´Â ÀÛ¾÷À» ½ÃµµÇϴµ¥, À̶§ »ç¿ëÀÚ°¡ ÀÎÁöÇÏÁö ¸øÇϵµ·Ï UAC Bypass ±â¹ýÀ» »ç¿ëÇÑ´Ù.

¡ãcheck.bat ¹èÄ¡ ½ºÅ©¸³Æ® ÄÚµå[À̹ÌÁö=ESRC]


°ü¸®ÀÚ ±ÇÇÑÀ¸·Î ½ÇÇàµÇ´Â ¡®trap.bat¡¯¿¡¼­´Â À©µµ Æú´õ¿¡ OS ºñÆ®º°·Î ¡®rdssvc.dll¡¯, ¡®rdssvc.dat¡¯ À̸§À¸·Î º¹»çÇÏ°í ¼­ºñ½º·Î ½ÇÇàÇÑ´Ù. ÃÖÁ¾ÀûÀ¸·Î ½ÇÇàµÇ´Â ¡®rdssvc.dll¡¯ ÆäÀ̷εå´Â C&C(4895750.c1.biz)¿Í Åë½ÅÀ» ÅëÇØ PC Á¤º¸ ¾÷·Îµå¿Í ¸í·ÉÁ¦¾î ±â´ÉÀ» ¼öÇàÇÏ°Ô µÈ´Ù.

¡ãÆäÀ̷εå ÄÚµå ÀϺÎ(ÁÂ)¿Í ÆäÀÌ·Îµå ³» ¹®ÀÚ¿­ º¹È£È­ °á°ú È­¸é(¿ì)[À̹ÌÁö=ESRC]


ESRC´Â ¿©·¯ ÁöÇ¥µéÀ» ºÐ¼®ÇÑ °á°ú, À̹ø °ø°ÝÀº ºÏÇÑ Á¤ÂûÃѱ¹ÀÌ ¹èÈÄ¿¡ ÀÖ´Â ÄÚ´Ï(Konni) Á¶Á÷ÀÇ ¼ÒÇàÀ¸·Î °á·ÐÁö¾ú´Ù°í ¹àÇû´Ù.

ESRC °ü°èÀÚ´Â ¡°º»¹® ÅؽºÆ® »ö»óÀ» º¯°æ, »ç¿ëÀÚ È£±â½ÉÀ» À¯¹ßÇØ ¸ÅÅ©·Î ½ÇÇàÀ» À¯µµÇÏ´Â ¹æ½ÄÀº ÀÌ¹Ì ÄÚ´Ï Á¶Á÷ÀÌ ¿À·¡ÀüºÎÅÍ Áñ°Ü »ç¿ëÇÏ´Â °ø°Ý ¹æ½Ä¡±À̶ó¸ç ¡°wpnprv32/64.dll ¸ðµâÀ» ÀÌ¿ëÇÑ UAC Bypass ±â¹ýµµ ÃÖ±Ù ÄÚ´ÏÀÇ °ø°Ý¿¡¼­ ¹ß°ßµÈ °ø°Ý±â¹ý Áß Çϳª¡±¶ó°í ¸»Çß´Ù. ÀÌ¾î ¡°ÄÚ´Ï´Â 2017³â Cisco TalosÀÇ º¸°í¼­¿¡¼­ ¾Ç¼ºÄÚµå Konni·Î óÀ½ °ø°³µÆÀ¸¸ç, ÀÌÈÄ º¸¾È¾÷°è¿¡¼­ Á¡Â÷ APT ±×·ìÀ¸·Î ÀνĵǸç APT ±×·ì¸íÀ¸·Î »ç¿ëµÇ°í ÀÖ´Ù¡±°í µ¡ºÙ¿´´Ù.
[±è¿µ¸í ±âÀÚ(boan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)