±Ý¼º121 ±×·ì°ú ±è¼öÅ° °è¿ÀÇ ¿ÀÆÛ·¹À̼Ç, IoC°£ ¿À¹ö·¦µÈ ºÎºÐ ´Ù¼ö ¹ß°ß
[º¸¾È´º½º ¿øº´Ã¶ ±âÀÚ] Àü ¼¼°èÀÇ À̸ñÀÌ ³²ºÏȸ´ã°ú ºÏ¹Ìȸ´ã¿¡ ½ò¸° °¡¿îµ¥, Áö³ 4¿ù 27ÀÏ ³²ºÏ Á¤»óȸ´ã ³»¿ëÀ» ´ãÀº HWP Æ÷¸ËÀÇ ¾Ç¼ºÆÄÀÏÀÌ ¹ß°ßµÆ´Ù. ƯÈ÷, ÀÌ ¾Ç¼ºÆÄÀÏÀº 2014³â 12¿ù ÇѼö¿ø ÇØÅ·°ø°Ý¿¡ »ç¿ëµÈ HWP Ãë¾àÁ¡ ¾Ç¼ºÆÄÀÏ, À̸¥¹Ù ±è¼öÅ° °è¿·Î ¾Ë·ÁÁ® ÁÖ¸ñÀ» ¹Þ°í ÀÖ´Ù.
[À̹ÌÁö=ESRC]
À̽ºÆ®½ÃÅ¥¸®Æ¼ÀÇ »çÀ̹ö À§Çù ÀÎÅÚ¸®Àü½º(CTI) Àü¹®Á¶Á÷ÀÎ ½ÃÅ¥¸®Æ¼´ëÀÀ¼¾ÅÍ(ÀÌÇÏ ESRC)´Â Á¤ºÎÂ÷¿øÀÇ ÈÄ¿øÀ» ¹Þ´Â °ø°ÝÀÚ(State-sponsored Actor)°¡ 2018³â 5¿ù¿¡ ¼öÇàÇÑ ÃֽŠǥÀûÇü APT »ç·Ê¸¦ È®º¸ÇØ ºÐ¼®Çß°í, Èï¹Ì·Ó°Ôµµ ±è¼öÅ° ÀÛÀü¿¡ »ç¿ëµÈ ¡®À§Çù º¤ÅÍ(°ø°ÝÀÚ°¡ ħÇØ´ë»ó¿¡ »ç¿ëÇÑ Á¢±Ù¼ö´Ü)¡¯ ¿À¹ö·¦ µÈ´Ù´Â Á¡À» ¹ß°ßÇß´Ù°í ¹àÇû´Ù.
¡ãKimsuky ÀÛÀü °è¿ÀÇ ¾Ç¼ºÆÄÀÏ°ú ±Ý¼º121 ±×·ìÀÌ »ç¿ëÇÑ µ¿ÀÏÇÑ HWP ȸé[À̹ÌÁö=ESRC]
ÇØ´ç À§Çù±×·ì°ú °³¹ß Äڵ尡 ³²±ä Á¾ÇÕÀû ´Ü¼¸¦ ±â¹ÝÀ¸·Î ÀÏ¸í ¡®ÀÛÀü¸í ¿øÁ¦·Î(Operation Onezero)¡¯·Î ¸í¸íÇßÀ¸¸ç, TTPs(Tactics/Tools, Techniques and Procedures) ±â¹ÝÀ¸·Î °ú°Å À¯»ç À§Çù°úÀÇ °ü°è ¿¬°á Æ÷ÀÎÆ®¸¦ °üÂûÇÏ°í ÀÖ´Ù.
¾Æ¿ï·¯ ÀϺΠ±è¼öÅ° ÀÛÀü¿¡¼ »ç¿ëµÈ °ø°Ý µ¥ÀÌÅÍ°¡ ¡®±Ý¼º121(Geumseong121)¡¯ À§Çù±×·ìÀÌ »ç¿ëÇÑ ÀÛÀü¿¡¼µµ µ¿ÀÏÇÏ°Ô »ç¿ëµÈ °æ¿ì°¡ º¹¼ö·Î ½Äº°µÇ¾î, ESRC¿¡¼´Â Á÷¡¤°£Á¢ÀûÀ¸·Î ¿¬°èµÈ APT Á¶Á÷ÀÌ ¼öÇà ÁßÀÎ °ÍÀ¸·Î °·ÂÇÏ°Ô ÆÇ´ÜÇÏ°í ÀÖ´Ù.
¡ãKimsuky ½Ã¸®ÁîÀÇ ¾Ç¼ºÆÄÀÏ°ú ±Ý¼º121 ±×·ìÀÌ »ç¿ëÇÑ ¹®¼ÀÇ µ¿ÀÏÇÑ ¼Ó¼º[À̹ÌÁö=ESRC]
Ãʱâ Kimsuky Á¶Á÷ÀÌ ½ºÇǾîÇǽÌ(Spear Phishing) °ø°ÝÀ» ¼öÇàÇÒ ¶§ ¹ß½ÅÁö´Â ÁÖ·Î Áß±¹ ¼±¾çÁöÁ¡À̾úÀ¸¸ç, µ¿ÀÏÇÑ °ø°Ý µ¥ÀÌÅÍ°¡ ÃÖ±Ù¿¡´Â ÀϺ» ¹ß½ÅÁö¿¡¼ ¸ñ°ÝµÇ¾ú´Ù°í ESRC´Â ¹àÇû´Ù.
Æǹ®Á¡ ¼±¾ð ¹®¼ ³»¿ëÀ» ÀοëÇÑ HWP Ãë¾àÁ¡ µîÀå
±×·± ¿ÍÁß¿¡ 2018³â 5¿ù 18ÀÏ¿¡ Á¦ÀÛµÈ HWP Æ÷¸ËÀÇ ¾Ç¼ºÆÄÀÏÀÌ »õ·Ó°Ô ¹ß°ßµÆ°í, ÀÌ ¾Ç¼ºÆÄÀÏÀº 4.27 ³²ºÏ Á¤»óȸ´ã °ü·Ã ³»¿ëÀÌ ´ã°ÜÀÖ´Ù. ÇØ´ç ¹®¼ÀÇ ÆÄÀϸíÀº ¡®Á¾Àü¼±¾ð¡¯ÀÌ°í, ¹èÆ÷¿ë ¹®¼¼³Á¤ ±â´ÉÀ¸·Î ¾ÏÈ£°¡ ¼³Á¤µÇ¾î ÀÖ´Ù. Root °æ·ÎÀÇ ³¯Â¥´Â 2017³â 5¿ù 20ÀÏ·Î ¼³Á¤µÇ¾î ÀÖÁö¸¸, ½ÇÁ¦ ¹®¼ÀÇ HwpSummaryInformation Properly Set Äڵ带 È®ÀÎÇØ º¸¸é »ý¼ºµÈ ½ÃÁ¡Àº 2018³â 5¿ù 14ÀÏÀ̸ç, ¸¶Áö¸· ÀúÀåµÈ ³¯Â¥´Â 2018³â 5¿ù 18ÀÏÀÌ´Ù.
¾Ç¼º ¹®¼´Â º¸¾È±â´ÉÀÌ ¼³Á¤µÇ¾î ÀÖ¾î ¾ÏÈ£¸¦ ¾Ë±â Àü±îÁø ¹®¼ÀÇ Á¤º¸¿Í ÆíÁýÀÌ ºÒ°¡´ÉÇÏÁö¸¸, ESRC¿¡¼´Â ÇØ´ç ¹®¼ÀÇ ¾ÏÈ£¸¦ Çص¶ÇØ ³»ºÎ Äڵ带 ºÐ¼®Çß´Ù°í ¹àÇû´Ù.
½ºÇǾîÇǽÌ(Spear Phishing) Ç¥Àû°ø°Ý¿¡ »ç¿ëµÈ °ÍÀ¸·Î ÃßÁ¤µÇ´Â ¾Ç¼º ¹®¼´Â Çѱ¹ÀÇ Æ¯Á¤ ´ëÇпø Ư° ÀÚ·á·Î Ç¥±âµÇ¾î ÀÖÀ¸¸ç, ¡®Á¦2° °¡¾ßÇÒ ±æ : ÅëÀÏÀ» ÁöÇâÇÏ´Â ÆòÈüÁ¦ ±¸Ã࡯À̶ó´Â Çѱ¹¾î Á¦¸ñÀ¸·Î ½ÃÀ۵ȴÙ. ¶ÇÇÑ, ¡®ºÏÇÑÀÇ ÇÙ°³¹ß°ú ÀüÀïÀ§±â °íÁ¶¡¯, ¡®¿ª»çÀûÀÎ Æǹ®Á¡ ³²ºÏÁ¤»óȸ´ã(4.27)¡¯ µîÀÇ ³»¿ëµµ Æ÷ÇԵǾî ÀÖ¾î, Æǹ®Á¡ ¼±¾ð ÀÌÈÄ¿¡ ÀÛ¼ºµÈ ³»¿ëÀ̶ó´Â Á¡À» ¾Ë ¼ö ÀÖ´Ù.
¹®¼ ÆÄÀÏ¿¡´Â ÃÑ 9°³ÀÇ ¡®ViewText/Section¡¯ ½ºÆ®¸²ÀÌ Æ÷ÇԵǾî ÀÖ°í, ¡®Section2~Section8¡¯ ½ºÆ®¸²±îÁö Shellcode ¿µ¿ªÀÌ Á¸ÀçÇÑ´Ù. ¡®Section2¡¯ºÎÅÍ ¡®Section8¡¯ ½ºÆ®¸²Àº ¾ÐÃàµÈ »óÅÂÀÇ ÄÚµå »çÀÌÁî°¡ ¡®20,228¡¯ Å©±â·Î ¸ðµÎ µ¿ÀÏÇÑ °ÍÀ» ¾Ë ¼ö ÀÖ´Ù. 7°³ÀÇ ¼½¼ÇÀº ¸ðµÎ µ¿ÀÏÇÑ Shellcode ¿µ¿ªÀ» °¡Áö°í ÀÖ´Ù. ÇØ´ç ½ºÆ®¸² ¿µ¿ª¿¡ Æ÷ÇԵǾî ÀÖ´Â ½©ÄÚµå´Â µðÄÚµù ·çƾÀ» ÅëÇØ ¸Þ¸ð¸®¿¡¼ ÀÛµ¿ÇÏ°Ô µÈ´Ù. µðÄÚµùµÈ ½©Äڵ带 È®ÀÎÇØ º¸¸é À©µµ¿ìÁî ¿î¿µÃ¼Á¦¿¡ Á¤»óÀûÀ¸·Î Á¸ÀçÇÏ´Â ¸Þ¸ðÀå(notepad.exe) ÇÁ·Î¼¼½º¿¡ ¾ÇÀÇÀûÀÎ ¸ðµâÀ» ·ÎµåÇØ »ç¿ëÇÏ´Â °ÍÀ» ¾Ë ¼ö ÀÖ´Ù.
½©Äڵ尡 Á¤»óÀûÀ¸·Î ÀÛµ¿ÇÏ°Ô µÇ¸é, HWP ³»ºÎ¿¡ Æ÷ÇԵǾî ÀÖ´Â Ä¿½ºÅÒ ÀÎÄÚµù ·çƾ¿¡ ÀÇÇØ ÀÓ½ÃÆú´õ(Temp) °æ·Î¿¡ ¡®core.dll¡¯ ÆÄÀÏÀ» »ý¼ºÇÏ°í, ¸Þ¸ðÀåÀ» ÅëÇØ ·ÎµåÇÏ°Ô µÈ´Ù. ¡®core.dll¡¯ ¸ðµâÀÌ Á¤»óÀûÀ¸·Î ÀÛµ¿ÇÏ°Ô µÇ¸é ¡®fontchk.jse¡¯ ÆÄÀÏÀ» ½ÃÀÛ¸Þ´ºÀÇ ½ÃÀÛÇÁ·Î±×·¥¿¡ µî·ÏÇÏ°í, ¡®wscript.exe¡¯ ¸í·ÉÀ» ÅëÇØ ½ÇÇàÇÑ´Ù. ¡®core.dll¡¯ ÆÄÀϸíÀº ÀÌÀüÀÇ ±è¼öÅ° ÀÛÀü¿¡¼ ´Ù¼ö »ç¿ëµÈ ÆÄÀϸíÀ̱⵵ ÇÑ´Ù.
Hwp.exe
¦±HimTrayIcon.exe
¦±notepad.exe
¦±regsvr32.exe /s "%TEMP%\core.dll"
¦±wscript.exe"%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\fontchk.jse"
ù ¹ø° ·Îµå¿¡ ÀÌ¿ëµÇ´Â ¾Ç¼º ¶óÀ̺귯¸® ÆÄÀÏÀº ³»ºÎ¿¡ ¡®OneDll.dll¡¯ À̸§ÀÇ Export ÇÔ¼ö¸¦ °¡Áö°í ÀÖÀ¸¸ç, 0xC8 °ªÀ¸·Î XOR ÀÎÄÚµùµÈ ¡®fontchk.jse¡¯ À̸§ÀÇ ¾Ç¼º ½ºÅ©¸³Æ® Äڵ带 Æ÷ÇÔÇÏ°í ÀÖ´Ù.
¡ãÀÎÄÚµùµÈ ¡®fontchk.jse¡¯ ÆÄÀÏÀ» µðÄÚµùÇÏ°í ½ÇÇàÇÏ´Â ÄÚµå[À̹ÌÁö=ESRC]
ÀÎÄÚµùµÈ »óÅÂ¿Í µðÄÚµùµÈ »óŸ¦ ºñ±³ÇØ º¸¸é ´ÙÀ½°ú °°ÀÌ ¾Ç¼º ½ºÅ©¸³Æ® Äڵ尡 Àº¹ÐÇÏ°Ô Æ÷ÇԵǾî ÀÖ´Â °ÍÀ» ¾Ë ¼ö ÀÖ´Ù. ¶ÇÇÑ, °ø°Ý¿¡´Â ±¸±Û µå¶óÀ̺갡 ¸í·ÉÁ¦¾î(C2) ¼¹ö·Î »ç¿ëµÆ´Ù.
2017³â Áß¼ø °æ ¹ß°ßµÈ À¯»çÇÑ º¯Á¾ DLL ÆÄÀϵµ À̹ø°ú µ¿ÀÏÇÏ°Ô ±¸±Û µå¶óÀ̺긦 ¸í·ÉÁ¦¾î(C2) ¼¹ö·Î »ç¿ëÇÑ ¹Ù ÀÖ´Ù. ÇÏÁö¸¸ À̹ø¿¡´Â DLL ³»ºÎ¿¡ Æ÷ÇÔÇÏÁö ¾Ê°í, ¾Ç¼º ½ºÅ©¸³Æ®¸¦ ÀÌ¿ëÇÑ ¹æ½ÄÀ¸·Î °ø°Ý º¤ÅÍ°¡ º¯°æµÆ´Ù.
¡ã¾Ç¼º ½ºÅ©¸³Æ® ÀÎÄÚµù, µðÄÚµù ºñ±³ ȸé[À̹ÌÁö=ESRC]
¡®fontchk.jse¡¯ ÆÄÀÏÀº ´ÙÀ½°ú °°ÀÌ Æ¯Á¤ ±¸±Û µå¶óÀ̺ê URL ÁÖ¼Ò 2°³·Î Á¢¼ÓÇÏ°í °¢°¢ ¡®brid.mki¡¯, ¡®7za.exe¡¯ ÆÄÀÏÀ» ¡®ProgramData¡¯ Æú´õ¿¡ ´Ù¿î·ÎµåÇÑ´Ù. ±¸±Û µå¶óÀÌºê ¸µÅ©¸¦ »ç¿ëÇÒ °æ¿ì ÀϺΠº¸¾È°üÁ¦¿¡¼ ÈÀÌÆ®¸®½ºÆ®·Î ºÐ·ùµÇ¾î À§Çù ¿ä¼Ò·Î ŽÁöµÇÁö ¾Ê±â ¶§¹®¿¡ °ø°ÝÀÚ°¡ ÀÌ ºÎºÐÀ» ÀûÀýÈ÷ È°¿ëÇÑ °ÍÀ¸·Î ÃßÁ¤µÈ´Ù.
¡®brid.mki¡¯ ÆÄÀÏÀº ¾ÏÈ£È ¾ÐÃàµÈ ZIP ÆÄÀÏÀ̸ç, ³»ºÎ¿¡ ¡®brid.ige¡¯ ÆÄÀÏÀÌ Æ÷ÇԵǾî ÀÖ´Ù. ¾ÐÃà ¾ÏÈ£´Â ¡®fontchk.jse¡¯ ¾Ç¼º ½ºÅ©¸³Æ® Äڵ忡 ¡®201805¡¯ °ªÀ¸·Î ¼±¾ðµÇ¾î ÀÖÀ¸¸ç, ÇÔ²² ´Ù¿î·Îµå µÇ´Â 7-Zip Standalone Console ÇÁ·Î±×·¥ÀÎ ¡®7za.exe¡¯ ÆÄÀÏÀ» ÀÌ¿ëÇØ ¾ÐÃàÇØÁ¦¸¦ ¼öÇàÇÑ´Ù.
´õºÒ¾î ½ºÅ©¸³Æ® Ãß°¡ ¸í·É¿¡ ÀÇÇØ ³×´ú¶õµåÀÇ Æ¯Á¤ È£½ºÆ®·Î Á¢¼ÓÀ» ½ÃµµÇØ 2Â÷ ¸í·ÉÀ» ÁÖ°í¹Þ´Âµ¥, ÀÌ »çÀÌÆ®¸¦ ÅëÇØ ¶Ç ´Ù¸¥ ¾Ç¼º ÆÄÀÏÀÌ ¼³Ä¡µÇµµ·Ï ±¸¼ºµÇ¾î ÀÖ´Ù.
¡ã¡®fontchk.jse¡¯ ¾Ç¼º ½ºÅ©¸³Æ® ȸé[À̹ÌÁö=ESRC]
¾ÏÈ£È ¾ÐÃàµÇ¾î ÀÖ´ø ¡®brid.mki¡¯ ÆÄÀÏÀº ¾ÐÃàÇØÁ¦ ÈÄ ¡®brid.ige¡¯ ÆÄÀϸíÀ¸·Î »ý¼ºµÇ°í ·Îµù µÈ´Ù. ½ÇÁ¦ ÀÌ ÆÄÀÏÀº DLL Çü½ÄÀ» °¡Áø ½ÇÇàÄÚµå´Ù. ÀÌ ÆÄÀÏÀÇ Export ÇÔ¼ö´Â ù ¹ø° ·ÎµåµÇ´Â ¾Ç¼º DLL ¶óÀ̺귯¸®ÀÇ ¡®OneDll.dll¡¯ À̸§°ú À¯»çÇÏÁö¸¸ ¡®zerodll.dll¡¯ À̸§À¸·Î ÇÔ¼ö¸íÀÌ ¼±¾ðµÇ¾î ÀÖ´Ù.
ESRC´Â °ø°ÝÀÚ°¡ »ç¿ëÇÑ ³×´ú¶õµåÀÇ È£½ºÆ®¸¦ Á¶»çÇÏ´Â °úÁ¤¿¡¼ ¸î °³ÀÇ ¾ÏÈ£ÈµÈ ÆÄÀÏÀ» ¹ß°ßÇß°í, ¾Ç¼º ½ºÅ©¸³Æ®¿¡¼ »ç¿ëÇÑ ¡®fontchk¡¯ ÆÄÀϸí°ú À¯»çÇÑ ¡®fontcheck.php¡¯ ÆÄÀÏÀÌ Á¸ÀçÇÏ´Â °Íµµ ¹ß°ßÇß´Ù. ´õºÒ¾î ¡®7za.exe¡¯ ¾ÐÃàÇØÁ¦ ÇÁ·Î±×·¥ÀÇ ÄÜ¼Ö ÆÄÀϵµ µ¿ÀÏÇÏ°Ô ¼û°ÜÁ® ÀÖ´Â °ÍÀ» È®ÀÎÇß´Ù.
È£½ºÆ®¿¡ ¼û°ÜÁ® ÀÖ´Â ¡®boot¡¯, ¡®query¡¯ ÆÄÀÏÀº DLL ¶óÀ̺귯¸® ÆÄÀÏÀ̸ç, 2´Ü°è·Î Äڵ尡 ¾ÏȣȵǾî ÀÖ´Ù. °ø°ÝÀÚ´Â Ãß°¡ °ø°Ý¿¡ »ç¿ëÇÒ ¸ñÀûÀ¸·Î ¾ÏÈ£ÈµÈ ¸ðµâÀ» Àº¹ÐÇÏ°Ô ¼¹ö¿¡ º¸°ü ÁßÀ̾ú´ø °ÍÀ¸·Î ÃßÁ¤µÈ´Ù. ¡®query¡¯ ÆÄÀÏÀº 2018³â 5¿ù 16ÀÏ ¿ÀÈÄ 10½Ã 59ºÐ, ¡®boot¡¯ ÆÄÀÏÀº 2018³â 5¿ù 17ÀÏ ¿ÀÀü 10½Ã 54ºÐ¿¡ Á¦À۵ƴÙ.
¾ÏȣȵǾî ÀÖ´ø ¡®query¡¯ ÆÄÀÏÀ» º¹È£È ÇØ ³»ºÎ Äڵ带 ºÐ¼®ÇØ º¸¸é, Á¤º¸¼öÁý °úÁ¤ Áß¿¡ ÇØ¿ÜÀÇ Æ¯Á¤ À½¶õ¹° »çÀÌÆ®ÀÇ µµ¸ÞÀÎ Á¶°ÇÀ» üũÇÏ´Â ±â´ÉÀÌ Á¸ÀçÇÑ´Ù.
ÀÛÀü¸í ±è¼öÅ°(Kimsuky) ½©ÄÚµå À¯»çµµ ¹× ¿¬°ü¼º ºÐ¼®
2014³â 12¿ù Çѱ¹ÀÇ Àü·Â±â°ü¿¡ ½ÃµµµÈ HWP Ãë¾àÁ¡ ¾Ç¼ºÆÄÀÏÀÇ ½©ÄÚµå(Shellcode)¿Í 2018³â 05¿ù ¹ß°ßµÈ HWP Ãë¾àÁ¡ ÆÄÀÏÀÇ ½©Äڵ带 ºñ±³ÇØ º¸¸é ´ÙÀ½°ú °°ÀÌ 100% µ¿ÀÏÇÑ °ÍÀ» ¾Ë ¼ö ÀÖ´Ù. 2014³â Àü·Â±â°ü À§Çù¿¡ »ç¿ëµÈ Ãë¾àÁ¡Àº ±è¼öÅ° °è¿·Î ÀÌ¹Ì ³Î¸® ¾Ë·ÁÁ® ÀÖ´Ù.
¡ãHWP Ãë¾àÁ¡À¸·Î »ç¿ëµÈ Shellcode ºñ±³ ȸé[À̹ÌÁö=ESRC]
¾Õ¼ »ìÆ캻 ¹Ù¿Í °°ÀÌ À̹ø °ø°Ý¿¡ »ç¿ëµÈ ¶óÀ̺귯¸® ÆÄÀÏÀº regsvr32.exe/s "%TEMP%\core.dll" ¸í·ÉÀ» ÅëÇØ ½ÇÇàµÈ´Ù. 213³â 8¿ù¿¡ Á¦ÀÛµÈ Kimsuky ½Ã¸®ÁîÀÇ ¾Ç¼º ÆÄÀϵµ ¿ì¿¬ÇÏ°Ôµµ ¡®core.dll¡¯ ÆÄÀϸíÀ¸·Î ¹ß°ßµÈ ¹Ù ÀÖ´Ù.
¡ã2013³â Á¦ÀÛµÈ Kimsuky Ãʱ⠽ø®Áî¿¡¼ »ç¿ëµÈ ¡®core.dll¡¯[À̹ÌÁö=ESRC]
2018³â 5¿ù 18ÀÏ ¡®ÀÛÀü¸í ¿øÁ¦·Î(Operation Onezero)¡¯ APT °ø°Ý¿¡ ÀÌ¿ëµÈ HWP ¹®¼ÆÄÀÏÀÇ ¼Ó¼ºÁ¤º¸¸¦ º¸¸é ¸¶Áö¸· ÀúÀåÇÑ »ç¶÷ÀÇ À̸§Àº ¡®burari¡¯´Ù. 2017³â 6¿ù¿¡ Á¦ÀÛµÈ º¯Á¾ Áß¿¡ ¡®Trigger.dll¡¯ Export ÇÔ¼ö¸¦ »ç¿ëÇÏ´Â °ÍÀÌ ¹ß°ßµÈ ¹Ù ÀÖ´Ù. ÀÌ ¾Ç¼ºÆÄÀÏ ¿ª½Ã ³»ºÎ¿¡ ±¸±Û µå¶óÀ̺ê URLÁÖ¼Ò 2°³¸¦ ÀÌ¿ëÇØ ¸í·ÉÁ¦¾î¸¦ ¼öÇàÇÑ´Ù.
±×¸®°í Çѱ¹ÀÇ Æ¯Á¤ ¹ý¹«¹ýÀÎ »çÀÌÆ®¸¦ 2Â÷ ¸í·ÉÁ¦¾î(C&C) ¼¹ö·Î »ç¿ëÇϴµ¥, Èï¹Ì·Ó°Ôµµ ¿©±â¼µµ core ÆÄÀϸíÀ¸·Î ´Ù¿î·Îµå°¡ ¼öÇàµÈ´Ù.
¡ã±¸±Û µå¶óÀÌºê ¸í·É Á¦¾î¿Í core ÆÄÀÏ·Î ´Ù¿î·ÎµåÇϴ ȸé[À̹ÌÁö=ESRC]
´Ù¿î·Îµå µÇ´Â ¡®core¡¯ ÆÄÀÏÀº ¾ÏȣȵǾî ÀÖÀ¸¸ç, º¹È£È°¡ µÈ ÈÄ ½ÇÇàµÇ¸é Çѱ¹ÀÇ Æ¯Á¤ ¾ÐÃàÇÁ·Î±×·¥ ¸ðµâ·Î À§ÀåÇØ ½ÇÇàµÈ´Ù. ÀÌ º¯Á¾µéÀº ´Ù¼ö°¡ Á¸ÀçÇϴµ¥ Export ÇÔ¼ö¸íÀÌ ¡®Engine.dll¡¯ÀÌ´Ù. ±× Áß º¯Á¾¿¡´Â ¡®burari001@gmail.com¡¯ À̸ÞÀÏ µîÀ¸·Î Åë½ÅÀ» ½ÃµµÇϴµ¥, ÇöÀçºÎÅÍ ¾à 12°³¿ù ÀüÂë ¾ÏÈ£°¡ º¯°æµÇ¾î ÇöÀç´Â Á¤»óÀûÀ¸·Î ¸í·ÉÀ» ¼öÇàÇÒ ¼ö ¾ø´Ù.
Âü°í·Î ¡®burari¡¯´Â ÀεµÀÇ Æ¯Á¤ µµ½ÃÁö¸íÀ̱⵵ Çѵ¥, °ú°Å ±è¼öÅ° ÀÛÀü¿¡ È°¿ëµÈ ¾Ç¼º À̸ÞÀÏ Áß ÀεµÀÇ ¹«·á À¥ ¸ÞÀÏÀÎ ¡®@india.com¡¯ ¼ºñ½º¸¦ ÀÌ¿ëÇÑ »ç·Êµµ ´Ù¼ö Á¸ÀçÇÑ´Ù.
2018³â 5¿ù Á¦ÀÛµÈ HWP ¹®¼ÀÇ ¸¶Áö¸· ÀúÀå °èÁ¤¸íÀÎ ¡®burari¡¯ ¹®ÀÚ¿Í À¯»çÇÑ ÇüÅÂÀÇ À̸ÞÀÏ ¡®burari001@gmail.com¡¯ ÇüÅ°¡ µ¿ÀÏÇÑ À§Çù ½Ã¸®Áî¿¡¼ »ç¿ëµÇ¾ú´Ù´Â Á¡µµ Èï¹Ì·Ó´Ù°í ESRC´Â ¸»Çß´Ù.
ESRC´Â ¡°ÀÌó·³ ±¹°¡ Â÷¿øÀÇ Áö¿øÀ» ¹Þ´Â °ÍÀ¸·Î ÃßÁ¤µÇ´Â °ø°ÝÀÚ(state-sponsored actor)ÀÇ È°µ¿ÀÌ ÇöÀçµµ °è¼Ó ÁøÇàµÇ°í ÀÖ´Ù¡±¸é¼, ¡°ESRC¿¡¼´Â ±×µ¿¾È ³Î¸® ¾Ë·ÁÁ® ÀÖÁö ¾Ê¾ÒÁö¸¸, ±Ý¼º121(Geumseong121) ±×·ì°ú ±è¼öÅ°(Kimsuky) °è¿ÀÇ ¿ÀÆÛ·¹À̼ǿ¡¼ IoC°£ ¿À¹ö·¦µÈ ºÎºÐÀ» ´Ù¼ö ¹ß°ßÇß°í, µ¿ÀÏÇÑ ±×·ì¿¡¼ ´Ù¾çÇÑ ÀηÂÀÌ °³º° ÀÛÀüÀ» ¼öÇàÇÏ°í ÀÖ´Ù´Â Á¡À» ÃßÁ¤ÇØ º¼ ¼ö ÀÖ´Ù¡±°í ¼³¸íÇß´Ù.
ESRC´Â ±¹°¡±â¹Ý À§Çù±×·ì¿¡ ´ëÇÑ Ã¼°èÀûÀÎ ÀÎÅÚ¸®Àü½º ¿¬±¸¿Í ÃßÀûÀ» ÅëÇØ, À¯»çÇÑ º¸¾ÈÀ§ÇùÀ¸·Î ÀÎÇÑ ÇÇÇØ°¡ ÃÖ¼Ò鵃 ¼ö ÀÖµµ·Ï °ü·Ã ¸ð´ÏÅ͸µÀ» °ÈÇÏ°í ÀÖ´Ù°í ¹àÇû´Ù.
[¿øº´Ã¶ ±âÀÚ(boanone@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>