MS ¿öµå ¶Ç´Â ¿¢¼¿ µî ¿ÀÇǽº ¹®¼ ÀÌ¿ëÇØ ¾Ç¼ºÄÚµå °ø°ÝÇϴ Ư¡ º¸¿©
[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] ÁÖ·Î ³²¾Æ½Ã¾Æ Á¤ºÎ±â°üÀ» ´ë»óÀ¸·Î ÇÏ´Â ÇØÅ·±×·ìÀÎ ºñÅÍ(Bitter, T-APT-17)°¡ Áß±¹ÀÇ Æ¯Á¤ ±â°üÀ» Ÿ±êÀ¸·Î CHM ¾Ç¼ºÄڵ带 À¯Æ÷ÇÑ Á¤È²ÀÌ È®ÀεƴÙ. ÇØ´ç Á¶Á÷Àº ¾Ç¼ºÄÚµå À¯Æ÷¿¡ ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ¿öµå(Word)³ª ¿¢¼¿(Excel) µî ÁÖ·Î MS Office ¹®¼¸¦ ÀÌ¿ëÇØ ¿ÔÀ¸¸ç, ±× °¡¿îµ¥¼µµ CHM ÆÄÀÏÀº ¿ÃÇØ ÃʺÎÅÍ ´Ù¾çÇÑ ÇØÄ¿±×·ì¿¡¼ APT °ø°Ý¿¡ ÀÌ¿ëÇÏ°í ÀÖ´Â °ÍÀ¸·Î µå·¯³µ´Ù.
¾È·¦ ASEC ºÐ¼®ÆÀ¿¡ µû¸£¸é, À̹ø °ø°Ý¿¡ »ç¿ëµÈ CHMÀº À̸ÞÀÏÀÇ Ã·ºÎ ÆÄÀÏÀ» ÅëÇØ À¯Æ÷µÇ°í ÀÖÀ¸¸ç, ÷ºÎ ÆÄÀÏÀº ¾ÐÃàµÈ ÇüÅ´Ù. ¾ÐÃà ÆÄÀÏ ³»ºÎ¿¡´Â CHM ÆÄÀÏÀÌ Á¸ÀçÇϸç ÇöÀç±îÁö È®ÀÎµÈ ÆÄÀϸíÀº ¡âProject Plan 2023 .chm ¡âUrgent passport enquiry of the following officials.docx.chm ¡âSUSPECTED FOREIGN TERRORIST FIGHTERS.chm ¡âForensic Evidence on Crime Scene.chm ¡âPatches updates.chm ¡âTicktes.chm ¡âKC_16.11.chm µîÀÌ´Ù.
ÇØ´ç CHM ÆÄÀÏÀ» ½ÇÇàÇÏ¸é ´ëºÎºÐÀº ºó µµ¿ò¸» âÀ» »ý¼ºÇÏÁö¸¸, ÀϺδ ¡®Áß±¹ Áß¾ÓÅëÀÏÀü¼±ºÎ¡¯ ¹× ¡®Áß±¹ ·¯½Ã¾Æ ÆòÈ °³¹ß À§¿øȸ¡¯ µî°ú °ü·ÃµÈ ³»¿ëÀ» È®ÀÎÇÒ ¼ö ÀÖ´Ù. ÇØ´ç À¯ÇüÀÇ CHM¿¡¼ È®ÀεǴ ³»ºÎ ¾Ç¼º ½ºÅ©¸³Æ®¸¦ ºÃÀ» ¶§ »ç¿ëÀÚ´Â ¾Ç¼º ½ºÅ©¸³Æ®ÀÇ µ¿ÀÛ °úÁ¤À» ÀÎÁöÇϱ⠾î·Æ´Ù°í º¼ ¼ö ÀÖ´Ù. ÇØ´ç ½ºÅ©¸³Æ®ÀÇ °øÅëÀûÀΠƯ¡À¸·Î´Â ¹Ù·Î°¡±â °´Ã¼¸¦ ½ÇÇàÇÏ´Â Click ¸Þ¼µå°¡ Á¸ÀçÇÏ´Â ½ºÅ©¸³Æ® ºÎºÐÀÌ ³µ¶ÈµÅ ÀÖ´Ù´Â Á¡ÀÌ´Ù. ÀÌ´Â ³µ¶È¸¦ ÅëÇØ º¸¾È ¼Ö·ç¼ÇÀÇ Á¤Àû Áø´ÜÀ» ȸÇÇÇÏ·Á´Â °ÍÀ¸·Î ÃßÁ¤µÈ´Ù.
½ºÅ©¸³Æ®°¡ µ¿ÀÛÇÏ°Ô µÇ¸é ¾Ç¼º ¸í·É¾î¸¦ ½ÇÇàÇÏ´Â ÀÛ¾÷À» »ý¼ºÇÏ°Ô µÈ´Ù. ¾Ç¼º ¸í·É¾î´Â °¢°¢ ƯÁ¤ ÁÖ¼Ò¿¡ Á¢¼ÓÇØ Ãß°¡ ¾Ç¼º ÆÄÀÏÀ» ½ÇÇàÇÏ°Ô µÈ´Ù. ÇØ´ç ÁÖ¼Ò´Â ÇöÀç ¸ðµÎ Á¢±ÙÀÌ ºÒ°¡´ÉÇÏÁö¸¸, ù ¹ø° ÁÖ¼Ò¿¡¼ ´Ù¿î·ÎµåµÇ´Â °ÍÀ¸·Î ÃßÁ¤µÇ´Â MSI ÆÄÀÏÀ» È®ÀÎÇß´Ù°í ¾È·¦ ASEC ºÐ¼®ÆÀÀº ¹àÇû´Ù.
MSI ÆÄÀÏÀº ½ÇÇàÇßÀ» ¶§ Á¤»ó exe ÆÄÀÏ°ú ¾Ç¼º DLLÀ» »ý¼º ÈÄ exe ÆÄÀÏÀ» µ¿ÀÛÇÏ°Ô ÇÑ´Ù. »ý¼ºµÇ´Â ÆÄÀÏÀº MicrosoftServices.exe ¹× OLMAPI32.dll ÆÄÀÏ µîÀ̸ç, MicrosoftServices.exe°¡ ½ÇÇàµÇ¸é OLMAPI32.dllÀÌ ·ÎµåµÇ´Â ÇüÅÂÀÌ´Ù. ·ÎµåµÇ´Â DLLÀº °ø°ÝÀÚ°¡ Á¦ÀÛÇÑ ¾Ç¼º ÆÄÀÏ·Î DLL Side-Loading ±â¹ý(T1574.002)À» ÀÌ¿ëÇß´Ù.
·ÎµåµÈ ¾Ç¼º DLLÀÇ ±â´ÉÀº ƯÁ¤ ¸í·É¾îµéÀ» ÅëÇØ »ç¿ëÀÚ Á¤º¸¸¦ ¼öÁýÇÑ ÈÄ ¡®c:\Users\Public\cr.dat¡¯ ÆÄÀÏ¿¡ ÇØ´ç Á¤º¸¸¦ ÀúÀåÇÑ´Ù. ±× ÀÌÈÄ Áö¼Ó¼ºÀ» À§ÇØ ¡®Microsoft Update¡¯ ¸íÀ¸·Î MicrosoftServices.exe¸¦ ½ÇÇàÇÏ´Â ÀÛ¾÷À» »ý¼ºÇÑ´Ù. Ãß°¡·Î, ƯÁ¤ ¸í·ÉÁ¦¾î(C2) ¼¹ö¿¡ Á¢¼ÓÀ» ½ÃµµÇÏ¸ç °ø°ÝÀÚÀÇ ¸í·É¿¡ µû¶ó ´Ù¾çÇÑ ¾Ç¼º ÇàÀ§¸¦ ¼öÇàÇÒ ¼ö ÀÖ´Ù.
¾È·¦ ASEC ºÐ¼®ÆÀÀº ¡°ÃÖ±Ù ±¹³»¿Ü¿¡¼ CHM ÆÄÀÏÀ» ÀÌ¿ëÇÑ °ø°ÝÀÌ Áõ°¡ÇÏ°í ÀÖÀ¸¸ç, ´Ù¾çÇÑ ¾Ç¼ºÄڵ忡¼ »ç¿ëµÇ°í ÀÖ´Ù¡±¸ç ¡°»ç¿ëÀÚ´Â ¸ÞÀÏÀÇ ¼ö½ÅÀÚ¸¦ »ó¼¼ÇÏ°Ô È®ÀÎÇØ¾ß Çϸç Ãâó°¡ ºÒºÐ¸íÇÑ ÆÄÀÏÀÇ °æ¿ì ¿¶÷À» ÀÚÁ¦ÇØ¾ß ÇÑ´Ù¡±°í ¸»Çß´Ù. ÀÌ¾î ¡°PC Á¡°ËÀ» ÁÖ±âÀûÀ¸·Î ÁøÇàÇÏ°í º¸¾È Á¦Ç°À» Ç×»ó ÃÖ½ÅÀ¸·Î ¾÷µ¥ÀÌÆ®ÇÏ´Â °ÍÀÌ ÇÊ¿äÇÏ´Ù¡±°í µ¡ºÙ¿´´Ù.
[±è¿µ¸í ±âÀÚ(boan@boannews.com)]
[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] ÁÖ·Î ³²¾Æ½Ã¾Æ Á¤ºÎ±â°üÀ» ´ë»óÀ¸·Î ÇÏ´Â ÇØÅ·±×·ìÀÎ ºñÅÍ(Bitter, T-APT-17)°¡ Áß±¹ÀÇ Æ¯Á¤ ±â°üÀ» Ÿ±êÀ¸·Î CHM ¾Ç¼ºÄڵ带 À¯Æ÷ÇÑ Á¤È²ÀÌ È®ÀεƴÙ. ÇØ´ç Á¶Á÷Àº ¾Ç¼ºÄÚµå À¯Æ÷¿¡ ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ¿öµå(Word)³ª ¿¢¼¿(Excel) µî ÁÖ·Î MS Office ¹®¼¸¦ ÀÌ¿ëÇØ ¿ÔÀ¸¸ç, ±× °¡¿îµ¥¼µµ CHM ÆÄÀÏÀº ¿ÃÇØ ÃʺÎÅÍ ´Ù¾çÇÑ ÇØÄ¿±×·ì¿¡¼ APT °ø°Ý¿¡ ÀÌ¿ëÇÏ°í ÀÖ´Â °ÍÀ¸·Î µå·¯³µ´Ù.
¡ãCHM ½ÇÇà ½Ã È¸é[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
¾È·¦ ASEC ºÐ¼®ÆÀ¿¡ µû¸£¸é, À̹ø °ø°Ý¿¡ »ç¿ëµÈ CHMÀº À̸ÞÀÏÀÇ Ã·ºÎ ÆÄÀÏÀ» ÅëÇØ À¯Æ÷µÇ°í ÀÖÀ¸¸ç, ÷ºÎ ÆÄÀÏÀº ¾ÐÃàµÈ ÇüÅ´Ù. ¾ÐÃà ÆÄÀÏ ³»ºÎ¿¡´Â CHM ÆÄÀÏÀÌ Á¸ÀçÇϸç ÇöÀç±îÁö È®ÀÎµÈ ÆÄÀϸíÀº ¡âProject Plan 2023 .chm ¡âUrgent passport enquiry of the following officials.docx.chm ¡âSUSPECTED FOREIGN TERRORIST FIGHTERS.chm ¡âForensic Evidence on Crime Scene.chm ¡âPatches updates.chm ¡âTicktes.chm ¡âKC_16.11.chm µîÀÌ´Ù.
ÇØ´ç CHM ÆÄÀÏÀ» ½ÇÇàÇÏ¸é ´ëºÎºÐÀº ºó µµ¿ò¸» âÀ» »ý¼ºÇÏÁö¸¸, ÀϺδ ¡®Áß±¹ Áß¾ÓÅëÀÏÀü¼±ºÎ¡¯ ¹× ¡®Áß±¹ ·¯½Ã¾Æ ÆòÈ °³¹ß À§¿øȸ¡¯ µî°ú °ü·ÃµÈ ³»¿ëÀ» È®ÀÎÇÒ ¼ö ÀÖ´Ù. ÇØ´ç À¯ÇüÀÇ CHM¿¡¼ È®ÀεǴ ³»ºÎ ¾Ç¼º ½ºÅ©¸³Æ®¸¦ ºÃÀ» ¶§ »ç¿ëÀÚ´Â ¾Ç¼º ½ºÅ©¸³Æ®ÀÇ µ¿ÀÛ °úÁ¤À» ÀÎÁöÇϱ⠾î·Æ´Ù°í º¼ ¼ö ÀÖ´Ù. ÇØ´ç ½ºÅ©¸³Æ®ÀÇ °øÅëÀûÀΠƯ¡À¸·Î´Â ¹Ù·Î°¡±â °´Ã¼¸¦ ½ÇÇàÇÏ´Â Click ¸Þ¼µå°¡ Á¸ÀçÇÏ´Â ½ºÅ©¸³Æ® ºÎºÐÀÌ ³µ¶ÈµÅ ÀÖ´Ù´Â Á¡ÀÌ´Ù. ÀÌ´Â ³µ¶È¸¦ ÅëÇØ º¸¾È ¼Ö·ç¼ÇÀÇ Á¤Àû Áø´ÜÀ» ȸÇÇÇÏ·Á´Â °ÍÀ¸·Î ÃßÁ¤µÈ´Ù.
¡ã¾Ç¼º ½ºÅ©¸³Æ® À¯Çü[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
½ºÅ©¸³Æ®°¡ µ¿ÀÛÇÏ°Ô µÇ¸é ¾Ç¼º ¸í·É¾î¸¦ ½ÇÇàÇÏ´Â ÀÛ¾÷À» »ý¼ºÇÏ°Ô µÈ´Ù. ¾Ç¼º ¸í·É¾î´Â °¢°¢ ƯÁ¤ ÁÖ¼Ò¿¡ Á¢¼ÓÇØ Ãß°¡ ¾Ç¼º ÆÄÀÏÀ» ½ÇÇàÇÏ°Ô µÈ´Ù. ÇØ´ç ÁÖ¼Ò´Â ÇöÀç ¸ðµÎ Á¢±ÙÀÌ ºÒ°¡´ÉÇÏÁö¸¸, ù ¹ø° ÁÖ¼Ò¿¡¼ ´Ù¿î·ÎµåµÇ´Â °ÍÀ¸·Î ÃßÁ¤µÇ´Â MSI ÆÄÀÏÀ» È®ÀÎÇß´Ù°í ¾È·¦ ASEC ºÐ¼®ÆÀÀº ¹àÇû´Ù.
MSI ÆÄÀÏÀº ½ÇÇàÇßÀ» ¶§ Á¤»ó exe ÆÄÀÏ°ú ¾Ç¼º DLLÀ» »ý¼º ÈÄ exe ÆÄÀÏÀ» µ¿ÀÛÇÏ°Ô ÇÑ´Ù. »ý¼ºµÇ´Â ÆÄÀÏÀº MicrosoftServices.exe ¹× OLMAPI32.dll ÆÄÀÏ µîÀ̸ç, MicrosoftServices.exe°¡ ½ÇÇàµÇ¸é OLMAPI32.dllÀÌ ·ÎµåµÇ´Â ÇüÅÂÀÌ´Ù. ·ÎµåµÇ´Â DLLÀº °ø°ÝÀÚ°¡ Á¦ÀÛÇÑ ¾Ç¼º ÆÄÀÏ·Î DLL Side-Loading ±â¹ý(T1574.002)À» ÀÌ¿ëÇß´Ù.
·ÎµåµÈ ¾Ç¼º DLLÀÇ ±â´ÉÀº ƯÁ¤ ¸í·É¾îµéÀ» ÅëÇØ »ç¿ëÀÚ Á¤º¸¸¦ ¼öÁýÇÑ ÈÄ ¡®c:\Users\Public\cr.dat¡¯ ÆÄÀÏ¿¡ ÇØ´ç Á¤º¸¸¦ ÀúÀåÇÑ´Ù. ±× ÀÌÈÄ Áö¼Ó¼ºÀ» À§ÇØ ¡®Microsoft Update¡¯ ¸íÀ¸·Î MicrosoftServices.exe¸¦ ½ÇÇàÇÏ´Â ÀÛ¾÷À» »ý¼ºÇÑ´Ù. Ãß°¡·Î, ƯÁ¤ ¸í·ÉÁ¦¾î(C2) ¼¹ö¿¡ Á¢¼ÓÀ» ½ÃµµÇÏ¸ç °ø°ÝÀÚÀÇ ¸í·É¿¡ µû¶ó ´Ù¾çÇÑ ¾Ç¼º ÇàÀ§¸¦ ¼öÇàÇÒ ¼ö ÀÖ´Ù.
¡ãÀÛ¾÷ ½ºÄÉÁÙ·¯[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
¾È·¦ ASEC ºÐ¼®ÆÀÀº ¡°ÃÖ±Ù ±¹³»¿Ü¿¡¼ CHM ÆÄÀÏÀ» ÀÌ¿ëÇÑ °ø°ÝÀÌ Áõ°¡ÇÏ°í ÀÖÀ¸¸ç, ´Ù¾çÇÑ ¾Ç¼ºÄڵ忡¼ »ç¿ëµÇ°í ÀÖ´Ù¡±¸ç ¡°»ç¿ëÀÚ´Â ¸ÞÀÏÀÇ ¼ö½ÅÀÚ¸¦ »ó¼¼ÇÏ°Ô È®ÀÎÇØ¾ß Çϸç Ãâó°¡ ºÒºÐ¸íÇÑ ÆÄÀÏÀÇ °æ¿ì ¿¶÷À» ÀÚÁ¦ÇØ¾ß ÇÑ´Ù¡±°í ¸»Çß´Ù. ÀÌ¾î ¡°PC Á¡°ËÀ» ÁÖ±âÀûÀ¸·Î ÁøÇàÇÏ°í º¸¾È Á¦Ç°À» Ç×»ó ÃÖ½ÅÀ¸·Î ¾÷µ¥ÀÌÆ®ÇÏ´Â °ÍÀÌ ÇÊ¿äÇÏ´Ù¡±°í µ¡ºÙ¿´´Ù.
[±è¿µ¸í ±âÀÚ(boan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>
±è¿µ¸í±âÀÚ ±â»çº¸±â
[2024-09-26] 
.jpg)
