º¸¾È´º½º â°£ 17ÁÖ³âÀ» ÃàÇÏÇÕ´Ï´Ù!!

Home > Àüü±â»ç

Æǹ®Á¡ ¼±¾ð ¹®¼­ ¾Ç¿ë! ±è¼öÅ° Á¶Á÷ÀÇ ¡®¿øÁ¦·Î ÀÛÀü¡¯ ½Çü

ÀÔ·Â : 2018-05-29 15:47
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
¿ÀÆÛ·¹ÀÌ¼Ç ±è¼öÅ°(Operration Kimsuky)ÀÇ ÃֽŠAPT °ø°Ý ¡®Operation Onezero¡¯
±Ý¼º121 ±×·ì°ú ±è¼öÅ° °è¿­ÀÇ ¿ÀÆÛ·¹À̼Ç, IoC°£ ¿À¹ö·¦µÈ ºÎºÐ ´Ù¼ö ¹ß°ß


[º¸¾È´º½º ¿øº´Ã¶ ±âÀÚ] Àü ¼¼°èÀÇ À̸ñÀÌ ³²ºÏȸ´ã°ú ºÏ¹Ìȸ´ã¿¡ ½ò¸° °¡¿îµ¥, Áö³­ 4¿ù 27ÀÏ ³²ºÏ Á¤»óȸ´ã ³»¿ëÀ» ´ãÀº HWP Æ÷¸ËÀÇ ¾Ç¼ºÆÄÀÏÀÌ ¹ß°ßµÆ´Ù. ƯÈ÷, ÀÌ ¾Ç¼ºÆÄÀÏÀº 2014³â 12¿ù ÇѼö¿ø ÇØÅ·°ø°Ý¿¡ »ç¿ëµÈ HWP Ãë¾àÁ¡ ¾Ç¼ºÆÄÀÏ, À̸¥¹Ù ±è¼öÅ° °è¿­·Î ¾Ë·ÁÁ® ÁÖ¸ñÀ» ¹Þ°í ÀÖ´Ù.

[À̹ÌÁö=ESRC]


À̽ºÆ®½ÃÅ¥¸®Æ¼ÀÇ »çÀ̹ö À§Çù ÀÎÅÚ¸®Àü½º(CTI) Àü¹®Á¶Á÷ÀÎ ½ÃÅ¥¸®Æ¼´ëÀÀ¼¾ÅÍ(ÀÌÇÏ ESRC)´Â Á¤ºÎÂ÷¿øÀÇ ÈÄ¿øÀ» ¹Þ´Â °ø°ÝÀÚ(State-sponsored Actor)°¡ 2018³â 5¿ù¿¡ ¼öÇàÇÑ ÃֽŠǥÀûÇü APT »ç·Ê¸¦ È®º¸ÇØ ºÐ¼®Çß°í, Èï¹Ì·Ó°Ôµµ ±è¼öÅ° ÀÛÀü¿¡ »ç¿ëµÈ ¡®À§Çù º¤ÅÍ(°ø°ÝÀÚ°¡ ħÇØ´ë»ó¿¡ »ç¿ëÇÑ Á¢±Ù¼ö´Ü)¡¯ ¿À¹ö·¦ µÈ´Ù´Â Á¡À» ¹ß°ßÇß´Ù°í ¹àÇû´Ù.

¡ãKimsuky ÀÛÀü °è¿­ÀÇ ¾Ç¼ºÆÄÀÏ°ú ±Ý¼º121 ±×·ìÀÌ »ç¿ëÇÑ µ¿ÀÏÇÑ HWP È­¸é[À̹ÌÁö=ESRC]


ÇØ´ç À§Çù±×·ì°ú °³¹ß Äڵ尡 ³²±ä Á¾ÇÕÀû ´Ü¼­¸¦ ±â¹ÝÀ¸·Î ÀÏ¸í ¡®ÀÛÀü¸í ¿øÁ¦·Î(Operation Onezero)¡¯·Î ¸í¸íÇßÀ¸¸ç, TTPs(Tactics/Tools, Techniques and Procedures) ±â¹ÝÀ¸·Î °ú°Å À¯»ç À§Çù°úÀÇ °ü°è ¿¬°á Æ÷ÀÎÆ®¸¦ °üÂûÇÏ°í ÀÖ´Ù.

¾Æ¿ï·¯ ÀϺΠ±è¼öÅ° ÀÛÀü¿¡¼­ »ç¿ëµÈ °ø°Ý µ¥ÀÌÅÍ°¡ ¡®±Ý¼º121(Geumseong121)¡¯ À§Çù±×·ìÀÌ »ç¿ëÇÑ ÀÛÀü¿¡¼­µµ µ¿ÀÏÇÏ°Ô »ç¿ëµÈ °æ¿ì°¡ º¹¼ö·Î ½Äº°µÇ¾î, ESRC¿¡¼­´Â Á÷¡¤°£Á¢ÀûÀ¸·Î ¿¬°èµÈ APT Á¶Á÷ÀÌ ¼öÇà ÁßÀÎ °ÍÀ¸·Î °­·ÂÇÏ°Ô ÆÇ´ÜÇÏ°í ÀÖ´Ù.

¡ãKimsuky ½Ã¸®ÁîÀÇ ¾Ç¼ºÆÄÀÏ°ú ±Ý¼º121 ±×·ìÀÌ »ç¿ëÇÑ ¹®¼­ÀÇ µ¿ÀÏÇÑ ¼Ó¼º[À̹ÌÁö=ESRC]


Ãʱâ Kimsuky Á¶Á÷ÀÌ ½ºÇǾîÇǽÌ(Spear Phishing) °ø°ÝÀ» ¼öÇàÇÒ ¶§ ¹ß½ÅÁö´Â ÁÖ·Î Áß±¹ ¼±¾çÁöÁ¡À̾úÀ¸¸ç, µ¿ÀÏÇÑ °ø°Ý µ¥ÀÌÅÍ°¡ ÃÖ±Ù¿¡´Â ÀϺ» ¹ß½ÅÁö¿¡¼­ ¸ñ°ÝµÇ¾ú´Ù°í ESRC´Â ¹àÇû´Ù.

Æǹ®Á¡ ¼±¾ð ¹®¼­ ³»¿ëÀ» ÀοëÇÑ HWP Ãë¾àÁ¡ µîÀå
±×·± ¿ÍÁß¿¡ 2018³â 5¿ù 18ÀÏ¿¡ Á¦ÀÛµÈ HWP Æ÷¸ËÀÇ ¾Ç¼ºÆÄÀÏÀÌ »õ·Ó°Ô ¹ß°ßµÆ°í, ÀÌ ¾Ç¼ºÆÄÀÏÀº 4.27 ³²ºÏ Á¤»óȸ´ã °ü·Ã ³»¿ëÀÌ ´ã°ÜÀÖ´Ù. ÇØ´ç ¹®¼­ÀÇ ÆÄÀϸíÀº ¡®Á¾Àü¼±¾ð¡¯ÀÌ°í, ¹èÆ÷¿ë ¹®¼­¼³Á¤ ±â´ÉÀ¸·Î ¾ÏÈ£°¡ ¼³Á¤µÇ¾î ÀÖ´Ù. Root °æ·ÎÀÇ ³¯Â¥´Â 2017³â 5¿ù 20ÀÏ·Î ¼³Á¤µÇ¾î ÀÖÁö¸¸, ½ÇÁ¦ ¹®¼­ÀÇ HwpSummaryInformation Properly Set Äڵ带 È®ÀÎÇØ º¸¸é »ý¼ºµÈ ½ÃÁ¡Àº 2018³â 5¿ù 14ÀÏÀ̸ç, ¸¶Áö¸· ÀúÀåµÈ ³¯Â¥´Â 2018³â 5¿ù 18ÀÏÀÌ´Ù.

¾Ç¼º ¹®¼­´Â º¸¾È±â´ÉÀÌ ¼³Á¤µÇ¾î ÀÖ¾î ¾ÏÈ£¸¦ ¾Ë±â Àü±îÁø ¹®¼­ÀÇ Á¤º¸¿Í ÆíÁýÀÌ ºÒ°¡´ÉÇÏÁö¸¸, ESRC¿¡¼­´Â ÇØ´ç ¹®¼­ÀÇ ¾ÏÈ£¸¦ Çص¶ÇØ ³»ºÎ Äڵ带 ºÐ¼®Çß´Ù°í ¹àÇû´Ù.

½ºÇǾîÇǽÌ(Spear Phishing) Ç¥Àû°ø°Ý¿¡ »ç¿ëµÈ °ÍÀ¸·Î ÃßÁ¤µÇ´Â ¾Ç¼º ¹®¼­´Â Çѱ¹ÀÇ Æ¯Á¤ ´ëÇпø Ư°­ ÀÚ·á·Î Ç¥±âµÇ¾î ÀÖÀ¸¸ç, ¡®Á¦2°­ °¡¾ßÇÒ ±æ : ÅëÀÏÀ» ÁöÇâÇÏ´Â ÆòȭüÁ¦ ±¸Ã࡯À̶ó´Â Çѱ¹¾î Á¦¸ñÀ¸·Î ½ÃÀ۵ȴÙ. ¶ÇÇÑ, ¡®ºÏÇÑÀÇ ÇÙ°³¹ß°ú ÀüÀïÀ§±â °íÁ¶¡¯, ¡®¿ª»çÀûÀÎ Æǹ®Á¡ ³²ºÏÁ¤»óȸ´ã(4.27)¡¯ µîÀÇ ³»¿ëµµ Æ÷ÇԵǾî ÀÖ¾î, Æǹ®Á¡ ¼±¾ð ÀÌÈÄ¿¡ ÀÛ¼ºµÈ ³»¿ëÀ̶ó´Â Á¡À» ¾Ë ¼ö ÀÖ´Ù.

¹®¼­ ÆÄÀÏ¿¡´Â ÃÑ 9°³ÀÇ ¡®ViewText/Section¡¯ ½ºÆ®¸²ÀÌ Æ÷ÇԵǾî ÀÖ°í, ¡®Section2~Section8¡¯ ½ºÆ®¸²±îÁö Shellcode ¿µ¿ªÀÌ Á¸ÀçÇÑ´Ù. ¡®Section2¡¯ºÎÅÍ ¡®Section8¡¯ ½ºÆ®¸²Àº ¾ÐÃàµÈ »óÅÂÀÇ ÄÚµå »çÀÌÁî°¡ ¡®20,228¡¯ Å©±â·Î ¸ðµÎ µ¿ÀÏÇÑ °ÍÀ» ¾Ë ¼ö ÀÖ´Ù. 7°³ÀÇ ¼½¼ÇÀº ¸ðµÎ µ¿ÀÏÇÑ Shellcode ¿µ¿ªÀ» °¡Áö°í ÀÖ´Ù. ÇØ´ç ½ºÆ®¸² ¿µ¿ª¿¡ Æ÷ÇԵǾî ÀÖ´Â ½©ÄÚµå´Â µðÄÚµù ·çƾÀ» ÅëÇØ ¸Þ¸ð¸®¿¡¼­ ÀÛµ¿ÇÏ°Ô µÈ´Ù. µðÄÚµùµÈ ½©Äڵ带 È®ÀÎÇØ º¸¸é À©µµ¿ìÁî ¿î¿µÃ¼Á¦¿¡ Á¤»óÀûÀ¸·Î Á¸ÀçÇÏ´Â ¸Þ¸ðÀå(notepad.exe) ÇÁ·Î¼¼½º¿¡ ¾ÇÀÇÀûÀÎ ¸ðµâÀ» ·ÎµåÇØ »ç¿ëÇÏ´Â °ÍÀ» ¾Ë ¼ö ÀÖ´Ù.

½©Äڵ尡 Á¤»óÀûÀ¸·Î ÀÛµ¿ÇÏ°Ô µÇ¸é, HWP ³»ºÎ¿¡ Æ÷ÇԵǾî ÀÖ´Â Ä¿½ºÅÒ ÀÎÄÚµù ·çƾ¿¡ ÀÇÇØ ÀÓ½ÃÆú´õ(Temp) °æ·Î¿¡ ¡®core.dll¡¯ ÆÄÀÏÀ» »ý¼ºÇÏ°í, ¸Þ¸ðÀåÀ» ÅëÇØ ·ÎµåÇÏ°Ô µÈ´Ù. ¡®core.dll¡¯ ¸ðµâÀÌ Á¤»óÀûÀ¸·Î ÀÛµ¿ÇÏ°Ô µÇ¸é ¡®fontchk.jse¡¯ ÆÄÀÏÀ» ½ÃÀÛ¸Þ´ºÀÇ ½ÃÀÛÇÁ·Î±×·¥¿¡ µî·ÏÇÏ°í, ¡®wscript.exe¡¯ ¸í·ÉÀ» ÅëÇØ ½ÇÇàÇÑ´Ù. ¡®core.dll¡¯ ÆÄÀϸíÀº ÀÌÀüÀÇ ±è¼öÅ° ÀÛÀü¿¡¼­ ´Ù¼ö »ç¿ëµÈ ÆÄÀϸíÀ̱⵵ ÇÑ´Ù.

Hwp.exe
¦±HimTrayIcon.exe
¦±notepad.exe
¦±regsvr32.exe /s "%TEMP%\core.dll"
¦±wscript.exe"%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\fontchk.jse"

ù ¹ø° ·Îµå¿¡ ÀÌ¿ëµÇ´Â ¾Ç¼º ¶óÀ̺귯¸® ÆÄÀÏÀº ³»ºÎ¿¡ ¡®OneDll.dll¡¯ À̸§ÀÇ Export ÇÔ¼ö¸¦ °¡Áö°í ÀÖÀ¸¸ç, 0xC8 °ªÀ¸·Î XOR ÀÎÄÚµùµÈ ¡®fontchk.jse¡¯ À̸§ÀÇ ¾Ç¼º ½ºÅ©¸³Æ® Äڵ带 Æ÷ÇÔÇÏ°í ÀÖ´Ù.

¡ãÀÎÄÚµùµÈ ¡®fontchk.jse¡¯ ÆÄÀÏÀ» µðÄÚµùÇÏ°í ½ÇÇàÇÏ´Â ÄÚµå[À̹ÌÁö=ESRC]


ÀÎÄÚµùµÈ »óÅÂ¿Í µðÄÚµùµÈ »óŸ¦ ºñ±³ÇØ º¸¸é ´ÙÀ½°ú °°ÀÌ ¾Ç¼º ½ºÅ©¸³Æ® Äڵ尡 Àº¹ÐÇÏ°Ô Æ÷ÇԵǾî ÀÖ´Â °ÍÀ» ¾Ë ¼ö ÀÖ´Ù. ¶ÇÇÑ, °ø°Ý¿¡´Â ±¸±Û µå¶óÀ̺갡 ¸í·ÉÁ¦¾î(C2) ¼­¹ö·Î »ç¿ëµÆ´Ù.

2017³â Áß¼ø °æ ¹ß°ßµÈ À¯»çÇÑ º¯Á¾ DLL ÆÄÀϵµ À̹ø°ú µ¿ÀÏÇÏ°Ô ±¸±Û µå¶óÀ̺긦 ¸í·ÉÁ¦¾î(C2) ¼­¹ö·Î »ç¿ëÇÑ ¹Ù ÀÖ´Ù. ÇÏÁö¸¸ À̹ø¿¡´Â DLL ³»ºÎ¿¡ Æ÷ÇÔÇÏÁö ¾Ê°í, ¾Ç¼º ½ºÅ©¸³Æ®¸¦ ÀÌ¿ëÇÑ ¹æ½ÄÀ¸·Î °ø°Ý º¤ÅÍ°¡ º¯°æµÆ´Ù.

¡ã¾Ç¼º ½ºÅ©¸³Æ® ÀÎÄÚµù, µðÄÚµù ºñ±³ È­¸é[À̹ÌÁö=ESRC]


¡®fontchk.jse¡¯ ÆÄÀÏÀº ´ÙÀ½°ú °°ÀÌ Æ¯Á¤ ±¸±Û µå¶óÀ̺ê URL ÁÖ¼Ò 2°³·Î Á¢¼ÓÇÏ°í °¢°¢ ¡®brid.mki¡¯, ¡®7za.exe¡¯ ÆÄÀÏÀ» ¡®ProgramData¡¯ Æú´õ¿¡ ´Ù¿î·ÎµåÇÑ´Ù. ±¸±Û µå¶óÀÌºê ¸µÅ©¸¦ »ç¿ëÇÒ °æ¿ì ÀϺΠº¸¾È°üÁ¦¿¡¼­ È­ÀÌÆ®¸®½ºÆ®·Î ºÐ·ùµÇ¾î À§Çù ¿ä¼Ò·Î ŽÁöµÇÁö ¾Ê±â ¶§¹®¿¡ °ø°ÝÀÚ°¡ ÀÌ ºÎºÐÀ» ÀûÀýÈ÷ È°¿ëÇÑ °ÍÀ¸·Î ÃßÁ¤µÈ´Ù.

¡®brid.mki¡¯ ÆÄÀÏÀº ¾Ïȣȭ ¾ÐÃàµÈ ZIP ÆÄÀÏÀ̸ç, ³»ºÎ¿¡ ¡®brid.ige¡¯ ÆÄÀÏÀÌ Æ÷ÇԵǾî ÀÖ´Ù. ¾ÐÃà ¾ÏÈ£´Â ¡®fontchk.jse¡¯ ¾Ç¼º ½ºÅ©¸³Æ® Äڵ忡 ¡®201805¡¯ °ªÀ¸·Î ¼±¾ðµÇ¾î ÀÖÀ¸¸ç, ÇÔ²² ´Ù¿î·Îµå µÇ´Â 7-Zip Standalone Console ÇÁ·Î±×·¥ÀÎ ¡®7za.exe¡¯ ÆÄÀÏÀ» ÀÌ¿ëÇØ ¾ÐÃàÇØÁ¦¸¦ ¼öÇàÇÑ´Ù.

´õºÒ¾î ½ºÅ©¸³Æ® Ãß°¡ ¸í·É¿¡ ÀÇÇØ ³×´ú¶õµåÀÇ Æ¯Á¤ È£½ºÆ®·Î Á¢¼ÓÀ» ½ÃµµÇØ 2Â÷ ¸í·ÉÀ» ÁÖ°í¹Þ´Âµ¥, ÀÌ »çÀÌÆ®¸¦ ÅëÇØ ¶Ç ´Ù¸¥ ¾Ç¼º ÆÄÀÏÀÌ ¼³Ä¡µÇµµ·Ï ±¸¼ºµÇ¾î ÀÖ´Ù.

¡ã¡®fontchk.jse¡¯ ¾Ç¼º ½ºÅ©¸³Æ® È­¸é[À̹ÌÁö=ESRC]


¾Ïȣȭ ¾ÐÃàµÇ¾î ÀÖ´ø ¡®brid.mki¡¯ ÆÄÀÏÀº ¾ÐÃàÇØÁ¦ ÈÄ ¡®brid.ige¡¯ ÆÄÀϸíÀ¸·Î »ý¼ºµÇ°í ·Îµù µÈ´Ù. ½ÇÁ¦ ÀÌ ÆÄÀÏÀº DLL Çü½ÄÀ» °¡Áø ½ÇÇàÄÚµå´Ù. ÀÌ ÆÄÀÏÀÇ Export ÇÔ¼ö´Â ù ¹ø° ·ÎµåµÇ´Â ¾Ç¼º DLL ¶óÀ̺귯¸®ÀÇ ¡®OneDll.dll¡¯ À̸§°ú À¯»çÇÏÁö¸¸ ¡®zerodll.dll¡¯ À̸§À¸·Î ÇÔ¼ö¸íÀÌ ¼±¾ðµÇ¾î ÀÖ´Ù.

ESRC´Â °ø°ÝÀÚ°¡ »ç¿ëÇÑ ³×´ú¶õµåÀÇ È£½ºÆ®¸¦ Á¶»çÇÏ´Â °úÁ¤¿¡¼­ ¸î °³ÀÇ ¾ÏȣȭµÈ ÆÄÀÏÀ» ¹ß°ßÇß°í, ¾Ç¼º ½ºÅ©¸³Æ®¿¡¼­ »ç¿ëÇÑ ¡®fontchk¡¯ ÆÄÀϸí°ú À¯»çÇÑ ¡®fontcheck.php¡¯ ÆÄÀÏÀÌ Á¸ÀçÇÏ´Â °Íµµ ¹ß°ßÇß´Ù. ´õºÒ¾î ¡®7za.exe¡¯ ¾ÐÃàÇØÁ¦ ÇÁ·Î±×·¥ÀÇ ÄÜ¼Ö ÆÄÀϵµ µ¿ÀÏÇÏ°Ô ¼û°ÜÁ® ÀÖ´Â °ÍÀ» È®ÀÎÇß´Ù.

È£½ºÆ®¿¡ ¼û°ÜÁ® ÀÖ´Â ¡®boot¡¯, ¡®query¡¯ ÆÄÀÏÀº DLL ¶óÀ̺귯¸® ÆÄÀÏÀ̸ç, 2´Ü°è·Î Äڵ尡 ¾ÏȣȭµÇ¾î ÀÖ´Ù. °ø°ÝÀÚ´Â Ãß°¡ °ø°Ý¿¡ »ç¿ëÇÒ ¸ñÀûÀ¸·Î ¾ÏȣȭµÈ ¸ðµâÀ» Àº¹ÐÇÏ°Ô ¼­¹ö¿¡ º¸°ü ÁßÀ̾ú´ø °ÍÀ¸·Î ÃßÁ¤µÈ´Ù. ¡®query¡¯ ÆÄÀÏÀº 2018³â 5¿ù 16ÀÏ ¿ÀÈÄ 10½Ã 59ºÐ, ¡®boot¡¯ ÆÄÀÏÀº 2018³â 5¿ù 17ÀÏ ¿ÀÀü 10½Ã 54ºÐ¿¡ Á¦À۵ƴÙ.

¾ÏȣȭµÇ¾î ÀÖ´ø ¡®query¡¯ ÆÄÀÏÀ» º¹È£È­ ÇØ ³»ºÎ Äڵ带 ºÐ¼®ÇØ º¸¸é, Á¤º¸¼öÁý °úÁ¤ Áß¿¡ ÇØ¿ÜÀÇ Æ¯Á¤ À½¶õ¹° »çÀÌÆ®ÀÇ µµ¸ÞÀÎ Á¶°ÇÀ» üũÇÏ´Â ±â´ÉÀÌ Á¸ÀçÇÑ´Ù.

ÀÛÀü¸í ±è¼öÅ°(Kimsuky) ½©ÄÚµå À¯»çµµ ¹× ¿¬°ü¼º ºÐ¼®
2014³â 12¿ù Çѱ¹ÀÇ Àü·Â±â°ü¿¡ ½ÃµµµÈ HWP Ãë¾àÁ¡ ¾Ç¼ºÆÄÀÏÀÇ ½©ÄÚµå(Shellcode)¿Í 2018³â 05¿ù ¹ß°ßµÈ HWP Ãë¾àÁ¡ ÆÄÀÏÀÇ ½©Äڵ带 ºñ±³ÇØ º¸¸é ´ÙÀ½°ú °°ÀÌ 100% µ¿ÀÏÇÑ °ÍÀ» ¾Ë ¼ö ÀÖ´Ù. 2014³â Àü·Â±â°ü À§Çù¿¡ »ç¿ëµÈ Ãë¾àÁ¡Àº ±è¼öÅ° °è¿­·Î ÀÌ¹Ì ³Î¸® ¾Ë·ÁÁ® ÀÖ´Ù.

¡ãHWP Ãë¾àÁ¡À¸·Î »ç¿ëµÈ Shellcode ºñ±³ È­¸é[À̹ÌÁö=ESRC]


¾Õ¼­ »ìÆ캻 ¹Ù¿Í °°ÀÌ À̹ø °ø°Ý¿¡ »ç¿ëµÈ ¶óÀ̺귯¸® ÆÄÀÏÀº regsvr32.exe/s "%TEMP%\core.dll" ¸í·ÉÀ» ÅëÇØ ½ÇÇàµÈ´Ù. 213³â 8¿ù¿¡ Á¦ÀÛµÈ Kimsuky ½Ã¸®ÁîÀÇ ¾Ç¼º ÆÄÀϵµ ¿ì¿¬ÇÏ°Ôµµ ¡®core.dll¡¯ ÆÄÀϸíÀ¸·Î ¹ß°ßµÈ ¹Ù ÀÖ´Ù.

¡ã2013³â Á¦ÀÛµÈ Kimsuky Ãʱ⠽ø®Áî¿¡¼­ »ç¿ëµÈ ¡®core.dll¡¯[À̹ÌÁö=ESRC]


2018³â 5¿ù 18ÀÏ ¡®ÀÛÀü¸í ¿øÁ¦·Î(Operation Onezero)¡¯ APT °ø°Ý¿¡ ÀÌ¿ëµÈ HWP ¹®¼­ÆÄÀÏÀÇ ¼Ó¼ºÁ¤º¸¸¦ º¸¸é ¸¶Áö¸· ÀúÀåÇÑ »ç¶÷ÀÇ À̸§Àº ¡®burari¡¯´Ù. 2017³â 6¿ù¿¡ Á¦ÀÛµÈ º¯Á¾ Áß¿¡ ¡®Trigger.dll¡¯ Export ÇÔ¼ö¸¦ »ç¿ëÇÏ´Â °ÍÀÌ ¹ß°ßµÈ ¹Ù ÀÖ´Ù. ÀÌ ¾Ç¼ºÆÄÀÏ ¿ª½Ã ³»ºÎ¿¡ ±¸±Û µå¶óÀ̺ê URLÁÖ¼Ò 2°³¸¦ ÀÌ¿ëÇØ ¸í·ÉÁ¦¾î¸¦ ¼öÇàÇÑ´Ù.

±×¸®°í Çѱ¹ÀÇ Æ¯Á¤ ¹ý¹«¹ýÀÎ »çÀÌÆ®¸¦ 2Â÷ ¸í·ÉÁ¦¾î(C&C) ¼­¹ö·Î »ç¿ëÇϴµ¥, Èï¹Ì·Ó°Ôµµ ¿©±â¼­µµ core ÆÄÀϸíÀ¸·Î ´Ù¿î·Îµå°¡ ¼öÇàµÈ´Ù.

¡ã±¸±Û µå¶óÀÌºê ¸í·É Á¦¾î¿Í core ÆÄÀÏ·Î ´Ù¿î·ÎµåÇÏ´Â È­¸é[À̹ÌÁö=ESRC]


´Ù¿î·Îµå µÇ´Â ¡®core¡¯ ÆÄÀÏÀº ¾ÏȣȭµÇ¾î ÀÖÀ¸¸ç, º¹È£È­°¡ µÈ ÈÄ ½ÇÇàµÇ¸é Çѱ¹ÀÇ Æ¯Á¤ ¾ÐÃàÇÁ·Î±×·¥ ¸ðµâ·Î À§ÀåÇØ ½ÇÇàµÈ´Ù. ÀÌ º¯Á¾µéÀº ´Ù¼ö°¡ Á¸ÀçÇϴµ¥ Export ÇÔ¼ö¸íÀÌ ¡®Engine.dll¡¯ÀÌ´Ù. ±× Áß º¯Á¾¿¡´Â ¡®burari001@gmail.com¡¯ À̸ÞÀÏ µîÀ¸·Î Åë½ÅÀ» ½ÃµµÇϴµ¥, ÇöÀçºÎÅÍ ¾à 12°³¿ù ÀüÂë ¾ÏÈ£°¡ º¯°æµÇ¾î ÇöÀç´Â Á¤»óÀûÀ¸·Î ¸í·ÉÀ» ¼öÇàÇÒ ¼ö ¾ø´Ù.

Âü°í·Î ¡®burari¡¯´Â ÀεµÀÇ Æ¯Á¤ µµ½ÃÁö¸íÀ̱⵵ Çѵ¥, °ú°Å ±è¼öÅ° ÀÛÀü¿¡ È°¿ëµÈ ¾Ç¼º À̸ÞÀÏ Áß ÀεµÀÇ ¹«·á À¥ ¸ÞÀÏÀÎ ¡®@india.com¡¯ ¼­ºñ½º¸¦ ÀÌ¿ëÇÑ »ç·Êµµ ´Ù¼ö Á¸ÀçÇÑ´Ù.

2018³â 5¿ù Á¦ÀÛµÈ HWP ¹®¼­ÀÇ ¸¶Áö¸· ÀúÀå °èÁ¤¸íÀÎ ¡®burari¡¯ ¹®ÀÚ¿Í À¯»çÇÑ ÇüÅÂÀÇ À̸ÞÀÏ ¡®burari001@gmail.com¡¯ ÇüÅ°¡ µ¿ÀÏÇÑ À§Çù ½Ã¸®Áî¿¡¼­ »ç¿ëµÇ¾ú´Ù´Â Á¡µµ Èï¹Ì·Ó´Ù°í ESRC´Â ¸»Çß´Ù.

ESRC´Â ¡°ÀÌó·³ ±¹°¡ Â÷¿øÀÇ Áö¿øÀ» ¹Þ´Â °ÍÀ¸·Î ÃßÁ¤µÇ´Â °ø°ÝÀÚ(state-sponsored actor)ÀÇ È°µ¿ÀÌ ÇöÀçµµ °è¼Ó ÁøÇàµÇ°í ÀÖ´Ù¡±¸é¼­, ¡°ESRC¿¡¼­´Â ±×µ¿¾È ³Î¸® ¾Ë·ÁÁ® ÀÖÁö ¾Ê¾ÒÁö¸¸, ±Ý¼º121(Geumseong121) ±×·ì°ú ±è¼öÅ°(Kimsuky) °è¿­ÀÇ ¿ÀÆÛ·¹À̼ǿ¡¼­ IoC°£ ¿À¹ö·¦µÈ ºÎºÐÀ» ´Ù¼ö ¹ß°ßÇß°í, µ¿ÀÏÇÑ ±×·ì¿¡¼­ ´Ù¾çÇÑ ÀηÂÀÌ °³º° ÀÛÀüÀ» ¼öÇàÇÏ°í ÀÖ´Ù´Â Á¡À» ÃßÁ¤ÇØ º¼ ¼ö ÀÖ´Ù¡±°í ¼³¸íÇß´Ù.

ESRC´Â ±¹°¡±â¹Ý À§Çù±×·ì¿¡ ´ëÇÑ Ã¼°èÀûÀÎ ÀÎÅÚ¸®Àü½º ¿¬±¸¿Í ÃßÀûÀ» ÅëÇØ, À¯»çÇÑ º¸¾ÈÀ§ÇùÀ¸·Î ÀÎÇÑ ÇÇÇØ°¡ ÃÖ¼ÒÈ­µÉ ¼ö ÀÖµµ·Ï °ü·Ã ¸ð´ÏÅ͸µÀ» °­È­ÇÏ°í ÀÖ´Ù°í ¹àÇû´Ù.
[¿øº´Ã¶ ±âÀÚ(boanone@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
 ÇÏÀÌÁ¨ ÆÄ¿öºñÁî 23³â 11¿ù 16ÀÏ~2024³â 11¿ù 15ÀϱîÁö ¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ À§Áîµð¿£¿¡½º 2018 ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö
¼³¹®Á¶»ç
<º¸¾È´º½º>ÀÇ º¸¾ÈÀü¹® ±âÀÚµéÀÌ ¼±Á¤ÇÑ 2024³â ÁÖ¿ä º¸¾È Å°¿öµå °¡¿îµ¥ °¡Àå Æı޷ÂÀÌ Å¬ °ÍÀ¸·Î º¸´Â À̽´´Â?
Á¡Á¡ ´õ Áö´ÉÈ­µÇ´Â AI º¸¾È À§Çù
¼±°ÅÀÇ ÇØ ¸ÂÀº ÇÙƼºñÁò °ø°Ý
´õ¿í °­·ÂÇØÁø ·£¼¶¿þ¾î »ýÅ°è
Á¡Á¡ ´õ ´Ù¾çÇØÁö´Â ½ÅÁ¾ ÇÇ½Ì °ø°Ý
»çȸ±â¹Ý½Ã¼³ °ø°Ý°ú OT º¸¾È À§Çù
´õ¿í ½ÉÇØÁö´Â º¸¾ÈÀη ºÎÁ· ¹®Á¦
Á¦·ÎÆ®·¯½ºÆ®¿Í °ø±Þ¸Á º¸¾È
°¡¼ÓÈ­µÇ´Â Ŭ¶ó¿ìµå·ÎÀÇ Àüȯ°ú ÀÌ¿¡ µû¸¥ º¸¾ÈÀ§Çù
¸ð¹ÙÀÏ È°¿ëÇÑ º¸ÀÎÀÎÁõ È°¼ºÈ­¿Í ÀÎÁõº¸¾È À̽´
AI CCTVÀÇ ¿ªÇÒ È®´ë