±¹¼¼Ã» µî Çѱ¹ Á¤ºÎ±â°ü °ø½Ä µµ¸ÞÀÎÀ» ±³¹¦È÷ »çĪÇÑ ½ºÇǾî ÇÇ½Ì °ø°Ý
[º¸¾È´º½º ±è°æ¾Ö ±âÀÚ] ÃÖ±Ù À¯Æ÷µÈ ±¹¼¼Ã» »çĪ ÇÇ½Ì ¸ÞÀÏÀÌ ºÏÇÑÀÇ ÇØÅ· °ø°ÝÀ¸·Î µå·¯³µ´Ù. ¸¶Ä¡ ±ÝÀ¶¼Òµæ ¹× ¼¼¹«Á¶»ç °ü·Ã ¾È³»Ã³·³ À§ÀåÇÑ °ø°ÝÀ¸·Î, ±¹¼¼Ã»Àº ¡®¼¼¹«Á¶»ç Ãâ¼®¿ä±¸¡¯ µî°ú ¾î¶°ÇÑ °æ¿ì¿¡µµ ¸ÞÀÏÀ» ¹ß¼ÛÇÏÁö ¾Ê´Â´Ù. µû¶ó¼ ±â°ü°ú ±â¾÷, ±×¸®°í ÀÌ¿ëÀÚµéÀÇ °¢º°ÇÑ ÁÖÀÇ°¡ ÇÊ¿äÇÏ´Ù.
¡ã±¹°ø½Ä ȨÆäÀÌÁö ÇØÅ·¸ÞÀÏ ÁÖÀÇ ¾È³» ȸé[ÀÚ·á=Áö´Ï¾ð½º]
¡®Áö´Ï¾ð½º ½ÃÅ¥¸®Æ¼ ¼¾ÅÍ: Genians Security Center(GSC)¡¯´Â ¡°±ÝÀ¶¼Òµæ ¹× ¼¼¹«Á¶»ç °ü·Ã ¾È³»Ã³·³ À§ÀåÇÑ ÄÚ´Ï(Konni) °ø°ÝÀÌ ²ÙÁØÈ÷ À̾îÁö°í ÀÖ´Ù¡±¸ç ¡°ÁÖ¿ä Ÿ±êÀº ´ëºÏºÐ¾ß Á¾»çÀÚ, ºñÆ®ÄÚÀÎ µî °¡»óÀÚ»ê °³ÀÎ °Å·¡ÀÚµµ ÀϺΠÁ¸ÀçÇÑ´Ù¡±°í ¹àÇû´Ù.
°ú°Å¿¡µµ ¡â세무조사 신고서류안내.zip ¡â세무조사출석요구.zip ¡â소명자료 제출요청 안내.zip ¡â±¹¼¼Ã» 종합소득세 신고관련 해명자료 제출 안내.zip ¡â부가가치세 과세표준증명원 제출 안내문.zip ¡â개인정보수집이용동의서.zip µî ¾ÐÃà ³»ºÎ¿¡ ¾Ç¼º LNK ÆÄÀϸíÀ¸·Î »çĪÇÑ ¾Ç¼ºÆÄÀÏÀÌ ¹ß°ßµÈ ¹Ù ÀÖ´Ù.
¡ã°ø°Ý¿¡ ¾²ÀÎ ÁÖ¿ä Å°¿öµå[ÀÚ·á=Áö´Ï¾ð½º]
°ø°Ý ½Ã³ª¸®¿À(Attack Scenario)
ÀÌó·³ ºÏÇÑ ÇØÄ¿Á¶Á÷ÀÇ °ø°ÝÀº ÀüÇüÀû À̸ÞÀÏ ±â¹Ý ½ºÇǾî ÇǽÌ(Spear Phishing) °ø°ÝÀ¸·Î ½ÃÀ۵ȴÙ. ´ëü·Î ÷ºÎµÈ ZIP ¾ÐÃà ³»ºÎ¿¡ ¾Ç¼º LNK ÆÄÀÏÀ» Æ÷ÇÔÇØ Àü´ÞÇÑ´Ù.
À̸ÞÀÏ ³»¿¡´Â Á÷Á¢ ÷ºÎ »Ó¸¸ ¾Æ´Ï¶ó ƯÁ¤ À¥ ¼¹ö¿¡ ¾ÐÃà ÆÄÀÏÀ» µî·ÏÇÑ ÈÄ URL ÁÖ¼Ò·Î »ðÀÔÇÑ´Ù. ¹°·Ð ¿¬°áµÈ ÁÖ¼ÒÀÇ °ø½Ä ¿©ºÎ¸¦ ºñ±³ÇØ È®ÀÎÇÒ ¼öµµ ÀÖ´Ù. ´Ù¸¸, °ø°ÝÀÇ ½Å·Úµµ¸¦ ³ôÀ̱â À§ÇØ ½ÇÁ¦ ±¹¼¼Ã» ȨÅýº µµ¸ÞÀÎ(hometax.go[.]kr) ÁÖ¼Ò·Î ¹ß½ÅÁö¸¦ Á¤±³ÇÏ°Ô Á¶ÀÛÇÑ °ÍÀº °¢º°È÷ ÁÖÀÇÇØ¾ß ÇÑ´Ù. Âü°í·Î À¯»ç °ø°Ý Áß¿¡´Â ±¹¼¼Ã» °ø½Ä µµ¸ÞÀÎ(nts.go[.]kr) ÁÖ¼Ò¿Í ¸Å¿ì Èí»çÇÑ °¡Â¥ µµ¸ÞÀÎ(nta.co[.]kr) ÁÖ¼Ò°¡ ¾²ÀÎ »ç·Êµµ ÀÖ´Ù.
°ø°ÝÀÇ Àüü À§Çù È帧À» »ìÆ캸¸é, °ø°ÝÀÚ´Â ¸¶Ä¡ ±¹¼¼Ã»ÀÌ ¹ß¼ÛÇÑ Å»¼¼Á¦º¸ ½Å°í¿¡ µû¸¥ ¼Ò¸íÀÚ·á Á¦Ãâ ¿äû ¾È³»Ã³·³ À§ÀåÇÏ°í ÀÖ´Ù.
¡ã°ø°Ý ½Ã³ª¸®¿À °£·« È帧µµ(ÀϺΠ¤·¤·Ã³¸®)[ÀÚ·á=Áö´Ï¾ð½º]
GSC À§Çù ÀÎÅÚ¸®Àü½º ºÐ¼®¿¡ µû¸£¸é, ¡®탈세제보 신고에 따른 소명자료 제출 요청 안내.zip¡¯ ÆÄÀÏ »Ó¸¸ ¾Æ´Ï¶ó, Å׸¶º°·Î ¿©·¯ Á¾·ùÀÇ °ø°ÝÀÌ Àü°³µÈ °ÍÀ¸·Î ÆľǵƴÙ. ¡®북한 내부정보.zip¡¯, ¡®안녕하세요! oo재단입니다_20240502TS528974S.zip¡¯ À̸§ µî ´Ù¾çÇÑ ÇüÅÂÀÇ °ø°ÝÀÌ ½Äº°µÆ´Ù.
À§Çù ÇàÀ§ÀÚ´Â ¡â±¹¼¼Ã» »çĪ ¡âÅ»ºÏ¹Î ÇлýÀÇ ÀåÇÐ±Ý ½Åû¼ ¡âºÏÇѽÃÀå ³»ºÎ µ¿Çâ ¹× ¹°°¡ ¹®¼Ã³·³ À§ÀåÇÑ ³»¿ëµµ »ç¿ëÇß´Ù.
¡ã½ÇÁ¦ °ø°Ý¿¡ »ç¿ëµÈ À̸ÞÀÏ È¸é(ÀϺΠºí·¯ ó¸®)[ÀÚ·á=Áö´Ï¾ð½º]
½ÇÁ¦ °ø°Ý¿¡ »ç¿ëµÈ À̸ÞÀÏ È¸éÀ» »ìÆ캸¸é, ¸Å¿ì Á¤±³ÇÏ°Ô µðÀÚÀÎµÈ °ÍÀ» ¾Ë ¼ö ÀÖ´Ù. ¸¶Ä¡ ±¹¼¼Ã»À» »çĪÇØ Å»¼¼Á¦º¸ ½Å°í¿¡ µû¸¥ ¼Ò¸íÀÚ·á Á¦Ãâ ¿äû ¾È³»Ã³·³ À§ÀåÇÑ »ç·ÊÀÇ °æ¿ì ¹ß½ÅÁö°¡ ¡®±¹¼¼Ã»
À§Çù ÇàÀ§ÀÚ´Â À̸ÞÀÏ ¹ß¼Û ¼¹ö¸¦ ±¸ÃàÇØ ¹ß½ÅÁö µµ¸ÞÀÎÀ» Áø¥ó·³ À§ÀåÇÒ ¼ö ÀÖ´Ù. µû¶ó¼ ¹ß¼ÛµÈ À̸ÞÀÏ µµ¸ÞÀÎÀÌ °ø½Ä ÁÖ¼Ò¿Í ÀÏÄ¡ÇÏ´õ¶óµµ °¡Â¥·Î Á¶ÀÛµÉ ¼ö ÀÖ´Ù´Â Á¡À» ±â¾ïÇÏ°í ÁÖÀÇÇØ¾ß ÇÑ´Ù. º¸Åë Ãʱâ Á¢±Ù¿¡ ¾²ÀÎ À̸ÞÀÏÀº ½ÇÁ¦ Åë¿ëµÇ´Â µðÀÚÀÎÀ» ¸ð¹æÇØ °ø°Ý¿¡ È°¿ëÇÑ´Ù. µû¶ó¼ Æò¼Ò º¸´ø µðÀÚÀΰú ¸Å¿ì Èí»çÇÒ ¼ö ÀÖ´Ù. ÇØ´ç »ç·ÊÀÇ °æ¿ì ±¹¼¼Ã» ¿ìÆí¹° ¼¾ÅÍ¿¡¼ º¸³»¿Â ¹ß¼Û ¾Ë¸² ¼ºñ½º·Î À§ÀåµÆ´Ù.
±¹¼¼Ã» »çĪÀÇ °æ¿ì, À̸ÞÀÏ º»¹® ÇÏ´Ü¿¡ Æ÷ÇÔµÈ ¡®Ã·ºÎ¹®¼¡¯ ¸µÅ©¸¦ Ŭ¸¯ÇÒ °æ¿ì ¾Ç¼º ÆÄÀÏÀÌ ´Ù¿î·ÎµåµÈ´Ù. ¸ÕÀú ¡®google-bidout-jp-d.openx[.]net¡¯ ÁÖ¼ÒÀÇ °íÀ¯ ½Äº°ÀÚ¿Í ÇÔ²² ¡®cammirando[.]com¡¯ ¼¹ö·Î ¿¬°áµÈ´Ù. Base64·Î ÀÎÄÚµùµÈ ¼ö½ÅÀÚÀÇ À̸ÞÀÏ ÁÖ¼Ò°¡ °æ·Î¿¡ Æ÷ÇԵȴÙ. À̸¦ ÅëÇØ ¼ö½ÅÀÚÀÇ Á¢±Ù ¿©ºÎ µîÀ» Á¶È¸ÇÒ ¼ö ÀÖ´Ù.
Å»ºÏ¹Î Çлý ÀåÇÐ±Ý ½Åû¼ »çĪÀÇ °æ¿ì, À̸ÞÀÏ »ó´Ü¿¡ ¸¶Ä¡ hwp¿Í pptx ¹®¼°¡ ÷ºÎµÈ °Íó·³ º¸ÀδÙ. ÇÏÁö¸¸ ÀÌ´Â ¸¶Ä¡ ÷ºÎ ÆÄÀÏó·³ ȸéÀ» ²Ù¹Î °ÍÀÌ°í ½ÇÁ¦·Î´Â ¡®search-education[.]com¡¯ ÁÖ¼Ò·Î ¿¬°áµÈ´Ù. º°µµ·Î ÀÌ¿Í À¯»çÇÑ °ø°Ý »ç·Ê Áß¿¡´Â ¡®nanocanas[.]com¡¯ µµ¸ÞÀÎÀÌ »ç¿ëµÈ °æ¿ì°¡ ÀÖ°í, ¿öµåÇÁ·¹½º(WordPress) ±â¹ÝÀ¸·Î ±¸ÃàµÈ °ÍÀÌ °øÅëÁ¡ÀÌ´Ù.
GSC´Â À§Çù ÇåÆðú ½Ã°è¿ ºÐ¼®À» ÅëÇØ °ø°Ý ½Ã³ª¸®¿Àº° ¼ø¼¸¦ ÆľÇÇß´Ù. Ãʱ⠰ø°Ý ½ÃÁ¡¿¡ ±¹¼¼Ã» »çĪ °ø°ÝÀ» ´Ù¼ö ÁøÇàÇÑ´Ù. ±× ÀÌÈÄ À§Çù¿¡ ³ëÃâµÈ ´Ü¸» ³»ºÎ¿¡ ħÅõ ÀẹÇÏ°í, ƯÁ¤ ÇÇÇØÀÚ »ó´ë·Î ÁÖ¿ä È°µ¿ ºÐ¾ß¸¦ °üÂûÇÑ´Ù. ±× °úÁ¤¿¡¼ Å»ºÏ¹Î Çлý ÀåÇÐ±Ý ½Åû¾÷¹« µîÀ» ÆľÇÇØ ¶Ç ´Ù¸¥ Àι°¿¡°Ô Á¢±ÙÇß´Ù.
°¢ lnk ¹Ù·Î°¡±â ÆÄÀÏÀº ¼Ó¼º ³»ºÎ¿¡ ÇϵåÄÚµùµÈ ¹®ÀÚ¿¿¡ ÀÇÇØ Æ¯Á¤ ¸í·ÉÁ¦¾î(C2) ¼¹ö·Î Á¢±ÙÇÏ°í, Ãß°¡ ÆÄÀÏÀ» ´Ù¿î·Îµå ÇÑ´Ù. ´Ù¿î·ÎµåµÈ ÆÄÀÏÀº ¿ÀÅäÀÕ ¡®AutoIt3.exe¡¯ ¸ðµâ°ú ¡®.au3¡¯ È®ÀåÀÚÀÇ ÄÄÆÄÀÏµÈ ¿ÀÅäÀÕ ½ºÅ©¸³Æ® ÄÚµå´Ù.
¾Ç¼º ÆÄÀÏ ºÐ¼®(Malware Analysis)
¹Ù·Î°¡±â ÆÄÀÏÀ» ÅëÇÑ Áö´ÉÇüÁö¼ÓÀ§Çù(APT) °ø°ÝÀº ²ÙÁØÈ÷ À̾îÁö°í ÀÖ´Ù. À§Çù ÇàÀ§ÀÚµéÀº lnk ¾Ç¼ºÄÚµå ÀÚµ¿ Á¦ÀÛ µµ±¸±îÁö °³¹ßÇØ °ø°Ý¿¡ È°¿ëÇÏ°í ÀÖ´Ù.
¡ã¾ÐÃà ³»ºÎ¿¡ Æ÷ÇÔµÈ ¸ñ·Ï ȸé[ÀÚ·á=Áö´Ï¾ð½º]
¸ÕÀú ±¹¼¼Ã»À» »çĪÇØ ¹èÆ÷µÆ´ø ¡®Å»¼¼Á¦º¸ ½Å°í¿¡ µû¸¥ ¼Ò¸íÀÚ·á Á¦Ãâ ¿äû ¾È³».zip¡¯ ¾ÐÃà ³»ºÎ¿¡´Â 2°³ÀÇ ÆÄÀÏÀÌ Æ÷ÇԵŠÀÖ´Ù.
±×Áß¿¡ ¡®첨부1_소명자료 목록(탈세제보).hwp.lnk¡¯ ÆÄÀÏÀÌ ¹®¼·Î À§ÀåÇÑ ÀÌÁß È®ÀåÀÚÀÎ °ÍÀ» ¾Ë ¼ö ÀÖ´Ù. ¹Ù·Î°¡±â ÆÄÀÏÀÇ ³»ºÎ µ¥ÀÌÅ͸¦ ÆĽÌÇØ º¸¸é, PowerShell ¸í·ÉÀ» ÅëÇØ ÇϵåÄÚµùµÈ ¹Ì³¢(Decoy)¿ë hwp ¹®¼¸¦ º¸¿©ÁÖ°Ô µÈ´Ù.
ÇØ´ç hwp ¹®¼´Â lnk ÆÄÀÏÀÌ ½ÇÇàµÈ Á÷ÈÄ µ¿ÀÏ °æ·ÎÀÇ ÆÄÀÏ·Î ´ëüµÈ´Ù. µû¶ó¼ ±âÁ¸ ¹Ù·Î°¡±âÇü ¾Ç¼º ÆÄÀÏÀº »ç¶óÁö°í, ¹Ì³¢¿ë Á¤»ó ¹®¼ ³»¿ëÀÌ ½ÇÇàµÈ´Ù.
¡ã¾Ç¼ºÆÄÀÏ ½ÇÇà½Ã º¸¿©Áö´Â Á¤»ó HWP ¹®¼ ÆÄÀÏ[ÀÚ·á=Áö´Ï¾ð½º]
¹Ì³¢ ¹®¼ º»¹®¿¡´Â ±¹¼¼Â¡¼ö¹ý ½ÃÇà±ÔÄ¢ º°Áö ¼½Ä Ç¥Çö°ú ÇÔ²² ¼Ò¸íÀÚ·á ¸ñ·Ï ÅÛÇø´ ³»¿ëÀÌ ´ã°ÜÁ® ÀÖ¾î ¿ÜÇü»ó Á¤»ó ¹®¼°¡ ½ÇÇàµÈ °Íó·³ Âø°¢ÇÏ°Ô µÈ´Ù.
ÀÌ¿Í µ¿½Ã¿¡ Cµå¶óÀÌºê ·çÆ® °æ·Î¿¡ ¡®QyvXzoE¡¯ Æú´õ¸¦ ¼û±è ¼Ó¼ºÀ¸·Î ¸¸µé°í, ½Ã½ºÅÛ Æú´õ °æ·Î¿¡ Á¸ÀçÇÏ´Â ¡®curl.exe¡¯ ÆÄÀÏÀ» ¡®QyvXzoE.exe¡¯ ÆÄÀϸíÀ¸·Î º¹»çÇÑ´Ù.
±×¸®°í ¡®phasechangesolutions[.]com¡¯ C&C ÁÖ¼Ò·Î Á¢¼ÓÇØ ¡®AutoIt3.exe¡¯, ¡®zXLGKyU.au3¡¯ ÆÄÀÏÀ» ´Ù¿î·Îµå ÇÑ´Ù. ¿©±â¼ »ý¼ºµÈ ¡®zXLGKyU.au3¡¯ ¿ÀÅäÀÕ ½ºÅ©¸³Æ® ÆÄÀÏ ³»ºÎ¿¡´Â ¹é½Å ÇÁ·Î±×·¥ ŽÁö³ª ºÐ¼®À» ¹æÇØÇϱâ À§ÇØ ´õ¹Ì Äڵ尡 »ðÀԵŠÀÖ´Ù.
¡®zXLGKyU.au3¡¯ ÆÄÀÏÀº À§Çù ÇàÀ§ÀÚ°¡ ½Ã°£Â÷¸¦ µÎ°í °ø°ÝÇϰųª ¸ñÀû ¹× Àǵµ¿¡ µû¶ó ÆÄÀÏÀ» º¯°æÇÒ ¼ö ÀÖ´Ù. ¶ÇÇÑ °ø°ÝÀÚ´Â Autoit-Ripper µµ±¸¸¦ ÅëÇØ µðÄÄÆÄÀÏ(Decompile) °úÁ¤À» ¼öÇàÇÒ ¼ö ÀÖ°í, À̸¦ ÅëÇØ ¿ÀÅäÀÕ ½ºÅ©¸³Æ® Äڵ带 ȹµæÇÒ ¼ö ÀÖ´Ù.
°ø°ÝÀÚ´Â 2017³â°æ ±êÇãºê¿¡ °ø°³µÈ Lilith C++ ¡®RAT(Remote Administration Tool)¡¯ ¼Ò½ºÄڵ带 ¿ÀÅäÀÕ ½ºÅ©¸³Æ®·Î ÀϺΠº¯È¯ÇØ »ç¿ëÇßÀ» °ÍÀ¸·Î ÃßÁ¤µÈ´Ù. Lilith RATÀº ÄÜ¼Ö ±â¹Ý °æ·® RAT Á¾·ù·Î ¿ø°Ý ¸í·É ½ÇÇàÀÌ °¡´ÉÇÏ´Ù.
¡ãC&C ¿ø°Ý Á¢¼Ó ½Ãµµ ¸ð½À[ÀÚ·á=Áö´Ï¾ð½º]
¾Ç¼º ¿ÀÅäÀÕ ½ºÅ©¸³Æ® ¸í·ÉÀÌ È£ÃâµÇ¸é ³»ºÎ¿¡ ¼±¾ðµÈ ·¯½Ã¾Æ ¼ÒÀçÀÇ C&C ¼¹ö·Î Á¢¼ÓÀ» ½ÃµµÇÑ´Ù. À̶§ Áߺ¹ ½ÇÇà ¹æÁö¿ë ¹ÂÅؽº¸íÀ» ¼³Á¤ÇÑ´Ù. °ø°ÝÀÚ´Â ¡®AutoIt3.exe¡¯ ÆÄÀÏ·Î C&C ÁÖ¼Ò·Î ¿ø°Ý Á¢¼ÓÀ» ½ÃµµÇÑ´Ù.
ÀÌ¿Í °ü·Ã GSC ¹®Á¾Çö ÀÌ»ç´Â ¡°°ø°ÝÀÚ°¡ ¹é½Å ŽÁö µîÀ» ÇÇÇϱâ À§ÇØ Àß ¾Ë·ÁÁöÁö ¾ÊÀº ¡®AutoIt3.exe¡¯ ÆÄÀÏÀ» »ç¿ëÇØ °ø°ÝÇÏ´Â °ÍÀ¸·Î º¸Àδ١±¸ç ¡°ÀÛ¾÷½ºÄÉÁÙ·¯¿¡ ¡®zXLGKyU¡¯ À̸§À¸·Î Æ®¸®°Å¸¦ µî·ÏÇØ 1ºÐ¸¶´Ù ¹«±âÇÑÀ¸·Î ¹Ýº¹ ½ÇÇàµÇµµ·Ï ¼³Á¤ÇÏ°í, ÄÄÆÄÀÏµÈ ¿ÀÅäÀÕ ½ºÅ©¸³Æ®°¡ ÀÛµ¿Çϸé, ³»ºÎ Á¶°Ç¿¡ µû¶ó ÀÛ¾÷ ½ºÄÉÁÙ·¯ ¸í·ÉÀÌ »èÁ¦µÉ ¼ö ÀÖ´Ù. ÀÌ´Â °ø°ÝÀÚ°¡ ÃßÀûÀ» ÇÇÇϱâ À§ÇØ ÈçÀûÀ» Áö¿ì±â À§ÇÑ °ÍÀ¸·Î º¸Àδ١±°í ¹àÇû´Ù.
[IMAGE12]
±×¸®°í ½ÃÀÛÇÁ·Î±×·¥ À§Ä¡¿¡ ¡®Start_Web.lnk¡¯ ¹Ù·Î°¡±â¸¦ ¸¸µé¾î Áö¼Ó¼ºÀ» À¯ÁöÇϸç, ·¯½Ã¾Æ ¼ÒÀçÀÇ C&C ¼¹ö¿Í Åë½ÅÀ» ½ÃµµÇØ Ãß°¡ ¸í·ÉÀ» ¼öÇàÇÒ ¼ö ÀÖ´Ù.
µÎ ¹ø°´Â Å»ºÏ¹Î Çлý ÀåÇÐ±Ý ½Åû¼·Î À§ÀåµÈ »ç·Ê´Ù. ÇØ´ç °ø°ÝÀº ƯÁ¤ »ç´Ü¹ýÀÎ Àç´Ü ¼Ò¼ÓÀÇ ÀåÇÐ±Ý Áö¿ø ´ã´çÀÚ°¡ ¾Õ¼ ¼³¸íÇÑ ±¹¼¼Ã» »çĪ À̸ÞÀÏ °ø°Ý¿¡ ¼Ó¾Æ ³»ºÎ Á¤º¸°¡ Å»ÃëµÈ ÈÄ ÁøÇàµÈ ÈÄ¼Ó °ø°ÝÀÌ´Ù.
2024³â 6¿ù¿¡ ÁøÇàµÉ Àç´Ü ÀÌ»çȸ¿¡¼ Å»ºÏÇлý ÀåÇÐ±Ý Ãß°¡Áö¿ø¿¡ ´ëÇØ ÅäÀǸ¦ ÁøÇàÇÒ ¿¹Á¤À̶ó¸ç, ÀåÇÐ±Ý ½Åû¼ ¾ç½ÄÀ» º¸³»´Â ¹æ½ÄÀ¸·Î °ø°ÝÀÌ ÁøÇàµÆ´Ù.
ÀÌ °ø°ÝÀº ħÇØµÈ ÀåÇÐ±Ý ´ã´çÀÚÀÇ ½ÇÁ¦ À̸ÞÀÏ °èÁ¤ÀÌ µµ¿ëµÆ°í, À§Çù ÇàÀ§ÀÚ´Â ÈçÀûÀ» Áö¿ì±â À§ÇØ ¹ß½ÅÇÔ¿¡¼ ±â·ÏÀ» »èÁ¦ÇÏ´Â µî ÁÖµµ ¸é¹ÐÇÑ °ø°ÝÀ» ¼öÇàÇß´Ù. ƯÈ÷, ¾Õ¼ ¼º°øµÈ ±¹¼¼Ã» »çĪ °ø°ÝÀÇ Àǽɰú ³ëÃâÀ» ÇÇÇϱâ À§ÇØ ¸¶Ä¡ À߸ø ¹ß¼ÛµÈ ¸ÞÀÏó·³ ¾È³»ÇÏ´Â °ú°¨ÇÑ Àû±Ø¼ºÀ» º¸ÀδÙ.
¡ã¹ß¼Û ¿À·ù ¾È³»·Î À§ÀåµÈ ȸé (ÀϺΠºí·¯ ó¸®)[ÀÚ·á=Áö´Ï¾ð½º]
´ç½Ã ¾È³» ¸ÞÀÏÀº ±¹¼¼Ã» Á¶»ç±¹À» »çĪÇߴµ¥, ¾óÇÍ º¸±â¿¡ ¹ß½ÅÀÚ°¡ ±¹¼¼Ã» °ø½Ä ÁÖ¼Ò(nta.go[.]kr)¿Í À¯»çÇÏÁö¸¸, »óÀ§ µµ¸ÞÀÎ(TLD, SLD)À» ÀÚ¼¼È÷ »ìÆ캸¸é ¡®go.kr¡¯ ÁÖ¼Ò°¡ ¾Æ´Ñ ¡®co.kr¡¯ µµ¸ÞÀÎ ÁÖ¼Ò·Î ÀüÇô ´Ù¸¥ À¥ »çÀÌÆ®ÀÎ °ÍÀ» ¾Ë ¼ö ÀÖ´Ù.
±×¸®°í ¡®believeinsanta[.]com (162.241.253[.]27)¡¯ ÁÖ¼Ò°¡ ½ÇÁ¦ ¹ß¼ÛÁöÀÎ °ÍÀ» ¾Ë ¼ö ÀÖ´Ù. ¾Æ¿ï·¯ À¯»ç °ø°Ý¿¡ ¾²ÀÎ ¹ß½ÅÁö Áß¿¡ ¡®balabushkapoolcues[.]com (162.241.216[.]224)¡¯ ÁÖ¼Òµµ Á¸ÀçÇϴµ¥, µÎ °÷ ¸ðµÎ ºí·çÈ£½ºÆ®(bluehost[.]com)¿Í ¿¬°áµÇ´Â °øÅëÁ¡ÀÌ ÀÖ´Ù. ´õºÒ¾î µå¸²È£½ºÆ®(dreamhost[.]com) È°¿ë »ç·Êµµ Á¸ÀçÇÑ´Ù.
À§Çù ÇàÀ§Àڴ ƯÁ¤ °æ·Î¿¡ ¸ÞÀÏ ¹ß¼Û±â¸¦ ±¸ÃàÇØ ÁÖ¼Ò¸¦ ÀÓÀÇ ¼³Á¤ÇØ È°¿ëÇß´Ù. ÀÌó·³ À̸ÞÀÏ ¹ß½ÅÀÚ Á¶ÀÛ °ø°ÝÀÌ ±â¼úÀûÀ¸·Î °¡´ÉÇÏ´Ù´Â Á¡À» ¸í½ÉÇÏ°í, ¼ö»óÇÑ Ã·ºÎÆÄÀÏÀº Á¢±ÙÇϱâ Àü¿¡ ÀüÈ µîÀ¸·Î »ç½ÇÈ®ÀÎÀ» ÁøÇàÇÏ´Â ³ë·ÂÀÌ ÇÊ¿äÇÏ´Ù.
Ãʱ⠰ø°Ý¿¡´Â ¿©·¯ C&C ¼¹ö°¡ »ç¿ëµÆÀ¸¸ç, ¾Ç¼º ÆÄÀÏ Àü´Þ¿¡ ¾²¿´´Ù. ¸¶Ä¡ Å»ºÏÇлý ÀåÇÐ±Ý ½Åû¼·Î À§ÀåÇÑ °ø°Ý ¿ª½Ã ±¹¼¼Ã» »çĪ ¶§¿Í µ¿ÀÏÇÏ°Ô zip ¾ÐÃà ÆÄÀÏ ³»ºÎ¿¡ Á¤»ó ¹®¼¿Í ¡®ÀÌÁß È®ÀåÀÚÀÇ ¹Ù·Î°¡±â(hwp.lnk)¡¯ ¾Ç¼º ÆÄÀÏÀÌ Æ÷ÇԵŠÀÖ´Ù. zip ¾ÐÃà ³»ºÎ ¡®¤·¤·재단_24년도장학금신청서.hwp.lnk¡¯ ÆÄÀÏ·Î °ø°ÝÀÌ ¼öÇàµÆ´Ù.
ÆÄÀÏ ³»ºÎ ±¸Á¶´Â ¾Õ¼ »ìÆ캻 ¡®첨부1_소명자료 목록(탈세제보).hwp.lnk¡¯ ÇüÅ¿¡¼ ±¸¹® ºÐ¼® ¹æÇØ ¸ñÀûÀÇ ¹«ÀÛÀ§ ³µ¶È ¹®ÀÚ¿ »ðÀÔ µî ÀϺΠº¯ÇüµÆÁö¸¸, C&C ¼¹ö ÁÖ¼Ò°¡ Á¤È®È÷ ÀÏÄ¡ÇÑ °ÍÀ» º¼ ¼ö ÀÖ´Ù. ¿©±â¼ ¿ÀÅäÀÕ ½ºÅ©¸³Æ® ´Ù¿î·Îµå ´ë»ó Æú´õÀÇ À̸§Àº º¯°æµÆÁö¸¸, ±¹¼¼Ã» »çĪ °Ç°ú µ¿ÀÏÇÑ ½ºÅ©¸³Æ®°¡ »ý¼ºµÈ´Ù.
´ëÀÀ¹æ¹ý(Conclusion)
lnk ¹Ù·Î°¡±â¸¦ ÀÌ¿ëÇÑ °ø°ÝÀº 3ºÐ±â¿¡µµ À¯È¿ÇÑ »óȲÀÌ´Ù. À§Çù ÇàÀ§ÀÚµéÀº ³»ºÎ °ø°Ý ÆÐÅÏÀ» °è¼Ó ¹Ù²ã°¡¸ç, ŽÁö ¿ìȸ¸¦ ½ÃµµÇÏ°í ÀÖ´Ù.
´Ü¸» Ãʱâ ħÅõ¿¡ ¼º°øÇÒ °æ¿ì ÄÄÆÄÀÏµÈ ¿ÀÅäÀÕ(AutoIt) ½ºÅ©¸³Æ®¸¦ Ãß°¡ ¼³Ä¡ÇØ Áö¼Ó¼º À¯Áö ¹× ³»ºÎ Àẹ¿¡ Àû±Ø È°¿ëÇÏ°í ÀÖ´Ù.
¿ÀÅäÀÕÀ» ÀÌ¿ëÇÑ °ø°ÝÀÌ ¹é½Å ÇÁ·Î±×·¥ ÆÐÅÏ Å½Áö ȸÇÇ¿¡ ¾Ç¿ëµÇ´Â ¸¸Å, ±â¾÷°ú ±â°ü¿¡¼´Â ´Ü¸» ÀÌ»óÇàÀ§ ÀÚü¸¦ ŽÁöÇÏ´Â ÀûÀýÇÑ ´ëÀÀ¹æ¾ÈÀÌ ÇÊ¿äÇÏ´Ù.
GSC´Â À̹ø À§Çù°ú °ü·ÃÇØ Genian EDR Á¦Ç°À» ÅëÇØ °¡»óÀÇ ¸ðÀÇ Ä§Åõ °úÁ¤°ú À§Çù ´ëÀÀÀ» ¼öÇàÇß´Ù. ¿ÀÅäÀÕÀ» ÅëÇÑ À§ÇùÀÌ Áõ°¡ Ãß¼¼À̹ǷÎ, EDRÀ» ÅëÇØ Á¶±â ŽÁö ¹× ´Éµ¿Àû ´ëÀÀÀÌ ÇÊ¿äÇÑ ½ÃÁ¡ÀÌ´Ù.
Genian EDR ¼¹ö´Â ¿ÀÅäÀÕ ÇÁ·Î¼¼½º(AutoIt3.exe)¿¡ ÀÇÇØ ½ÇÇàµÈ Ä¿¸Çµå ¶óÀÎ ³»¿ë°ú ¿¬°ü À̺¥Æ® ³»¿ëÀ» ¼öÁý º¸°üÇØ º¸¾È °ü¸®ÀÚ°¡ Æí¸®ÇÏ°Ô °¡½Ã¼º À§Çù ¿ä¼Ò¸¦ È®ÀÎÇÒ ¼ö ÀÖ´Ù. À̸¦ ÅëÇØ ¾î¶² °æ·Î¿¡ À§Çù ¿ä¼Ò°¡ Á¸ÀçÇÏ´ÂÁö ºü¸¥ ½Äº°ÀÌ ¿ëÀÌÇÏ°í, ÀÇ½É ÇàÀ§¸¦ ¼öÇàÇÑ ÇÁ·Î¼¼½º »ó°ü°ü°è¸¦ Á¶È¸ÇÒ ¼ö ÀÖ´Ù. ¶ÇÇÑ, ³×Æ®¿öÅ© ¿¬°á ÀÌ·Â Á¶È¸¸¦ ÅëÇØ C&C Á¤º¸¸¦ À°¾ÈÀ¸·Î Áï½Ã ÆľÇÇÒ ¼ö ÀÖ´Ù.
°ø°Ý ½ºÅ丮 ¶óÀÎÀ» ÅëÇØ ¾Ç¼º ÆÄÀÏÀÇ ½ÇÇà È帧À» Àϸñ¿ä¿¬ÇÏ°Ô ÆľÇÇÒ ¼ö ÀÖÀ¸¸ç, ¡®cmd.exe¡¯, ¡®powershell.exe¡¯ Ä¿¸Çµå¸¦ ÅëÇØ ÀÛµ¿ÇÑ °³º° À̺¥Æ® È®Àεµ °¡´ÉÇÏ´Ù. ´õºÒ¾î ¼û±è ¼Ó¼º ¼³Á¤À» À§ÇØ »ç¿ëÇÑ ¸í·É°ú ³×Æ®¿öÅ© Åë½Å °úÁ¤À» Á¶È¸ÇÒ ¼ö ÀÖ´Ù.
À§Çù ¸ð´ÏÅ͸µÀ» ÅëÇØ ³»ºÎ ´Ü¸»¿¡¼ ¹ß»ýÇÑ ÀÌ»óÇàÀ§ ³»¿ªÀ» Á¾ÇÕÇØ ´ëÀÀÇÒ ¼ö ÀÖ´Ù. ƯÈ÷, ´Ù¼ö ´Ü¸»¿¡¼ ¹ß»ýÇÑ ÀÌ»óÇàÀ§ TOP 10À» º°µµ·Î Á¦°øÇÏ°í, ¾î¶² À§Çù ¿ä¼Ò°¡ ŽÁöµÆ´ÂÁö ÀÚ¼¼ÇÑ ¼³¸íÀ» Á¦°øÇÑ´Ù.
ºÐ¼® º¸°í¼ ³»¿¡¼ È®ÀÎµÈ ÆÄÀϸí°ú ÇÏ´ÜÀÇ Ä§ÇØ ÁöÇ¥¸¦ ´ë½Ãº¸µå·Î ±¸ÇöÇØ ÃÖ±Ù ÀÏÁÖÀÏ ¶Ç´Â ÇÑ´Þ µ¿¾È À§Çù ÀÇ½É À̺¥Æ®¸¦ ½±°Ô È®ÀÎÇÒ ¼ö ÀÖ´Ù.
½Ç½Ã°£À¸·Î ¼öÁýÇÑ ´Ù¾çÇÑ À̺¥Æ®¸¦ ºÐ¼®ÇÒ ¼ö ÀÖ´Â ´ë½Ãº¸µå¿¡´Â ÀÏÁÖÀÏ ¶Ç´Â ÇÑ´Þ µ¿¾È C&C IP Á¢¼Ó ÀÌ·ÂÀ» È®ÀÎÇÒ ¼ö ÀÖ´Ù.
´õºÒ¾î ¼Û¼ö½Å µ¥ÀÌÅÍ·®, C&C IP·Î Á¢¼ÓÇÑ ÇÁ·Î±×·¥°ú »ç¿ëµÈ Æ÷Æ® Á¤º¸, ħÇØ ÁöÇ¥¿¡ ÇØ´çÇÏ´Â ÆÄÀÏ Á¸Àç À¯¹« ¹× À§Ä¡¿Í ½ÇÇà ¿©ºÎ, ÁÖ¿ä ¸í·É¾î µî ´Ù¾çÇÑ Á¤º¸¸¦ ¼Õ½±°Ô È®ÀÎÇÒ ¼ö ÀÖ´Ù. À̸¦ ÅëÇØ ³»ºÎ ½Ã½ºÅÛ¿¡ À¯»ç À§ÇùÀÌ Á¸ÀçÇß¾ú´ÂÁö ÆľÇÇÒ ¼ö ÀÖ´Ù.
À̹ø º¸°í¼¿¡ ±â¼úµÈ ÄÚ´Ï(Konni) Ä·ÆäÀÎÀº ´ëºÏºÐ¾ß »Ó¸¸ ¾Æ´Ï¶ó, °¡»óÀÚ»ê °Å·¡ °ü°èÀÚµé±îÁö Æø³Ð°Ô °ø°ÝÀ» ¼öÇàÇÏ°í ÀÖ´Ù. Âü°í·Î ÇØ´ç À§ÇùÀÇ ¹èÈÄ·Î ±è¼öÅ°(Kimsuky) ±×·ì°ú Á÷°£Á¢ ¿¬°è °¡´É¼ºÀÌ ³ôÀº °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖ´Ù. ¿ÀÅäÀÕ ½ºÅ©¸³Æ®¸¦ ÀÌ¿ëÇÏ´Â µî ±¹°¡¹èÈÄ À§Çù±×·ìÀº ´Ü¸»¿¡ ¼³Ä¡µÈ ¹é½Å ÇÁ·Î±×·¥ ŽÁö ȸÇǸ¦ À§ÇÑ ´Ù¾çÇÑ ½Ãµµ¸¦ ÇÏ°í ÀÖ´Ù. µû¶ó¼ ÃֽŠ°ø°Ý µ¿ÇâÀ» Âü°íÇØ À¯»çÇÑ À§Çù¿¡ ³ëÃâµÇÁö ¾Êµµ·Ï º¸¾È °È¿¡ ´õ ¸¹Àº °ü½É°ú ³ë·ÂÀ» ±â¿ï¿©¾ß ÇÑ´Ù.
¹é½ÅÇÁ·Î±×·¥°ú ¹æȺ® µî ´Ü¸»³» 1Â÷ ¹æ¾î¼±ÀÌ ¹«·Âȵƴõ¶óµµ EDR ¿¡ÀÌÀüÆ®°¡ ¼³Ä¡µÈ °æ¿ì º¸¾È °ü¸®ÀÚ°¡ ºü¸£°Ô ÀÌ»óÇàÀ§¸¦ ÀÎÁöÇÏ°í Ãß°¡ ºÐ¼® ¹× Á¶Ä¡¸¦ ¼öÇàÇÒ ¼ö ÀÖ´Ù. ÀÌó·³ ´Ù°èÃþ º¸¾È ½Ã½ºÅÛÀ» ±¸ÃàÇØ ¾ÈÀüÇÑ ³×Æ®¿öÅ© ȯ°æÀ» À¯ÁöÇÒ ¼ö ÀÖ´Ù.
[±è°æ¾Ö ±âÀÚ(boan3@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>