Home > Àüü±â»ç

¶óÀڷ罺°¡ ¡®±ØÇÑÁ÷¾÷¡¯ µµÀü? APT °ø°Ý Ä·ÆäÀÎ ¹ß°ß

ÀÔ·Â : 2019-01-31 11:44
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
ESRC, ¶óÀڷ罺ÀÇ ¡®ÀÛÀü¸í ÀͽºÆ®¸² Àâ(Extreme Job)¡¯ APT °ø°Ý Ä·ÆäÀÎ Æ÷Âø
±âÁ¸ DOC ¸ÅÅ©·Î¿Í °ÅÀÇ °°Àº ÄÚµå±â¹ý ÀçÈ°¿ë... °ø°Ýº¤ÅÍ»ó DOC ÆÄÀÏ¸íµµ ±âÁ¸°ú µ¿ÀÏ


[º¸¾È´º½º ¿øº´Ã¶ ±âÀÚ] ¶óÀڷ罺(Lazarus)·Î ÃßÁ¤µÇ´Â Á¤ºÎ ÈÄ¿ø °ø°Ý±×·ìÀÌ ¼öÇàÇÑ ÃֽŠÁö´ÉÇüÁö¼ÓÀ§Çù(APT) Ä·ÆäÀÎÀÌ ¹ß°ßµÇ¾î »ç¿ëÀÚÀÇ ÁÖÀÇ°¡ ¿ä±¸µÇ°í ÀÖ´Ù. À̽ºÆ®½ÃÅ¥¸®Æ¼ CTI Á¶Á÷ÀÎ ½ÃÅ¥¸®Æ¼´ëÀÀ¼¾ÅÍ(ÀÌÇÏ ESRC)´Â À̹ø ¶óÀڷ罺ÀÇ °ø°ÝÀ» ¡®ÀÛÀü¸í ÀͽºÆ®¸² Àâ(Extreme Job)¡¯À¸·Î ¸í¸íÇÏ°í ÀÌ¿Í °°ÀÌ ¹àÇû´Ù.

[À̹ÌÁö=iclickart]


¶óÀڷ罺´Â 2018³â 9¿ù 6ÀÏ ¹Ì ¹ý¹«ºÎ¿¡¼­ ¹Ì±¹ ¼Ò´ÏÇÈÃĽº ¿µÈ­»ç ÇØÅ·, ¹æ±Û¶óµ¥½Ã ÀºÇà ÇØÅ·, ¿ö³ÊÅ©¶óÀÌ ·£¼¶¿þ¾î À¯Æ÷ µîÀÇ ÇøÀÇ·Î LA ¿¬¹æ¹ý¿ø¿¡ ±â¼Ò°í¹ßÀ» Çß°í, ¹Ì¿¬¹æ¼ö»ç±¹(FBI)¿¡¼­´Â Áö¸í¼ö¹è¸¦ ³»¸° »óÅ´Ù. ƯÈ÷, À̹ø¿¡ ¹ß°ßµÈ °ø°ÝÀº ±×µ¿¾È ±¹³»¿Ü ÁÖ¿ä ħÇØ»ç°í¿¡¼­ ¹ß°ßµÆ´ø DOC ¸ÅÅ©·Î¿Í °ÅÀÇ °°Àº ÄÚµå±â¹ýÀÌ ÀçÈ°¿ëµÆÀ¸¸ç, °ø°Ýº¤ÅÍ»ó DOC ÆÄÀÏ¸íµµ ±âÁ¸°ú µ¿ÀÏÇÏ´Ù.

ÀÌ´Â 2017³â 5¿ù ÀÛ¼ºµÈ ESRC ÀÎÅÚ¸®Àü½º ¸®Æ÷Æ® ¡®¿ÀÆÛ·¹ÀÌ¼Ç ¾Æ¶óºñ¾È ³ªÀÌÆ®(20170512_ESRC1705_White_Threat Intelligence Report_Arabian Night)¡¯ »ç·Ê¿Í µ¿ÀÏ ¿¬Àå¼±»ó¿¡ ÀÖ´Ù°í º¼ ¼ö ÀÖ´Ù°í ESRC´Â ¼³¸íÇß´Ù.

2019³â 1¿ù 30ÀÏ »õ·Î ¹ß°ßµÈ ¾Ç¼ºÆÄÀÏÀÇ À̸§Àº ¡®Job Description.doc¡¯À¸·Î, ÀÌ ¿öµåÆÄÀÏÀº 2019³â 1¿ù 29ÀÏ ¿ÀÈÄ 9½Ã °æ¿¡ Á¦ÀÛµÆÀ¸¸ç, Çѱ¹¾î(949) ±â¹Ý¿¡¼­ Á¦ÀÛµÈ °ÍÀ» ¾Ë ¼ö ÀÖ´Ù. ESRC¿¡¼­´Â À̹ø °ø°Ýº¤ÅÍ¿¡¼­ »ç¿ëµÈ Å°¿öµå µîÀ» È°¿ëÇØ À̸¥¹Ù ¡®±ØÇÑÁ÷¾÷¡¯À̶ó´Â ÀǹÌÀÇ ¡®¿ÀÆÛ·¹ÀÌ¼Ç ÀͽºÆ®¸² Àâ(Operation Extreme Job)¡¯À¸·Î »çÀ̹ö ÀÛÀü¸íÀ» Áö¾ú´Ù.

DOC ¸ÅÅ©·Î Äڵ带 ÀÌ¿ëÇÑ °ø°Ýº¤ÅÍ È帧 ºÐ¼®

¡ãJob Description.doc ÆÄÀÏÀÇ ¼Ó¼º Á¤º¸[ÀÚ·á=ESRC]


ÀÌ ÆÄÀÏÀº Çѱ¹ÀÇ Æ¯Á¤ À¥ »çÀÌÆ®¸¦ ÅëÇØ À¯Æ÷µÇ¾úÀ¸¸ç, IP Camera ¶Ç´Â CCTV µîÀ» ÆǸÅÇÏ´Â °÷À¸·Î ¾Ç¼ºÄÚµå À¯Æ÷¿¡ ¾Ç¿ëµÆ´Ù. MS Word ÆÄÀÏÀÇ ³»ºÎ OLE ÄÚµå ±¸Á¶¸¦ »ìÆ캸¸é, ¾Æ·¡¿Í °°ÀÌ ¸ÅÅ©·Î Äڵ尡 Æ÷ÇԵǾî ÀÖ´Â °ÍÀ» ¾Ë ¼ö ÀÖÀ¸¸ç, ÀÌ ÄÚµå ¿ª½Ã 2019³â 1¿ù 29ÀÏ ÀÛ¼ºµÆ´Ù.

¡ã¾Ç¼º ÄÚµå OLE ³»ºÎ ±¸Á¶[ÀÚ·á=ESRC]


¸ÅÅ©·Î ÄÚµå´Â ±âÁ¸¿¡ ¾Ë·ÁÁø À¯»ç À§Çù»ç·Ê ¹æ½ÄÀÌ ±×´ë·Î Àû¿ëµÈ »óÅ·Π¹ß°ßµÆ°í, ¡®NewMacros¡¯ ÇÔ¼ö¿¡´Â ³­µ¶È­µÈ ¸ÅÅ©·Î ÄÚµåµéÀÌ Æ÷ÇԵƴÙ.

¡ã¸ÅÅ©·Î VBA ³»ºÎ ÄÚµå È­¸é[ÀÚ·á=ESRC]


³­µ¶È­µÈ ½ºÆ®¸µ ÄÚµåµéÀº ´ÙÀ½°ú °°Àº º¹È£È­ ¸í·É¾î¸¦ ÅëÇØ Ãß°¡ ¾Ç¼ºÄڵ带 »ý¼ºÇÏ°í ½ÇÇàÇÏ°Ô µÈ´Ù. ¿©±â¿¡ »ç¿ëµÈ ¿¬»ê·çƾÀº ±âÁ¸¿¡µµ ¿©·¯ Â÷·Ê µ¿ÀÏÇÑ Å°·Î »ç¿ëµÈ ±â·ÏÀ» °¡Áö°í ÀÖ´Ù. ¡®XOR 231(0xE7)¡¯ Å° ¿¬»êÀ» ÅëÇØ Äڵ尡 º¹È£È­µÇ´Âµ¥, ÀÌ Å°°ªÀº ±âÁ¸ À¯»çÇÑ À§Çù¿¡¼­µµ Áö¼ÓÀûÀ¸·Î ¹ß°ßµÈ ¹Ù ÀÖ´Ù.

¡ã¸ÅÅ©·Î ÄÚµå º¹È£È­ ¿¬»ê ÇÔ¼ö ·çƾ[ÀÚ·á=ESRC]


2017³â 3¿ù °æ °ø°ÝÀÌ Æ÷ÂøµÈ ¡®¿ÀÆÛ·¹ÀÌ¼Ç ¾Æ¶óºñ¾È³ªÀÌÆ®(20170512_ESRC1705_White_Threat Intelligence Report_Arabian Night)¡¯ÀÇ °æ¿ì¿¡´Â Çѱ¹ÀÇ Æ¯Á¤ º¸¾È±â¾÷À» »çĪÇØ ½ºÇǾî ÇǽÌ(Spear Phishing) °ø°ÝÀÌ ¼öÇàµÈ ¹Ù ÀÖ´Ù.

2017³â 4¿ù¿¡µµ ±¹³» º¸¾È¾÷ü ´ë»ó ½ºÇǾîÇÇ½Ì °ø°Ý ¼öÇà
¶ÇÇÑ, ESRC¿¡¼­´Â µ¿ÀÏ Á¶Á÷ÀÌ 2017³â 4¿ù 21ÀÏ Çѱ¹ÀÇ À¯¸í ÄÄÇ»ÅÍ º¸¾È¾÷ü¸¦ ´ë»óÀ¸·Î À¯»ç ½ºÇǾî ÇǽÌ(Spear Phishing) °ø°ÝÀÌ ¼öÇàµÈ °ÍÀ» È®ÀÎÇß´Ù. ÇØ´ç °ø°Ý¿¡¼­´Â DOC, XLS ¸ÅÅ©·Î °ø°ÝÀÌ ¾Æ´Ï¶ó, HWP Ãë¾àÁ¡À» ÀÌ¿ëÇÑ °¨¿°º¤ÅÍ°¡ »ç¿ëµÆ´ø °ÍÀ¸·Î µå·¯³µ´Ù.

°ø°ÝÀÚ´Â ¹Ì±¹ »çÀ̹ö º¸¾È ½ÃÀåÀÇ ÇöÀç¿Í ¹Ì·¡¶ó´Â Á¦¸ñÀ¸·Î ¼ö½ÅÀÚ¸¦ ÇöȤÇßÀ¸¸ç, ¡®Ú¸ »çÀ̹ö º¸¾È½ÃÀåÀÇ ÇöÀç¿Í ¹Ì·¡.hwp¡¯ ÆÄÀÏÀÌ Ã·ºÎµÇ¾î ÀÖ¾ú´Ù. HWP ¾Ç¼ºÆÄÀÏÀº EPS Ãë¾àÁ¡ Äڵ忡 ÀÇÇØ %Temp% °æ·Î¿¡ jusched.exe ÆÄÀϸíÀ¸·Î ¾Ç¼ºÄڵ带 »ý¼ºÇÏ°í, ÀçºÎÆýà ÀÚµ¿ ½ÇÇàµÇµµ·Ï ½ÃÀÛÇÁ·Î±×·¥ °æ·Î¿¡ jusched.lnk ÇüÅ·Πµî·ÏÇÏ°Ô µÈ´Ù.

±×¸®°í ±× ¹Ù·Î°¡±â ´ë»óÀÇ ½ÇÇàÀÎÀÚ °ª¿¡ 'E5XT-RWW2-TW36-2ETS' Äڵ尡 Æ÷ÇԵǾî ÀÖ´Â °ÍÀ» È®ÀÎÇÒ ¼ö ÀÖ¾ú°í, ÇØ´ç ÄÚµå´Â ¡®ÁÖ¿ä IT Á¤º¸º¸È£ ¹× º¸¾È ¾÷ü ¸®½ºÆ®.doc¡¯ ¸ÅÅ©·Î Äڵ忡¼­ »ç¿ëÇÑ °Í°ú ÀÏÄ¡Çß´Ù´Â °Ô ESRC ÃøÀÇ ¼³¸íÀÌ´Ù.

¡ãÇѱ¹ º¸¾È ±â¾÷À¸·Î »çĪÇÑ ½ºÇǾî ÇÇ½Ì °ø°Ý »ç·Ê[ÀÚ·á=ESRC]


¡®Job Description.doc¡¯ ¾Ç¼ºÆÄÀÏÀÌ ½ÇÇàµÇ¸é ´ÙÀ½°ú °°ÀÌ º¸¾È °æ°í ¸Þ½ÃÁö¿Í ÇÔ²² ¡®ÄÜÅÙÃ÷ »ç¿ë¡¯ ¸ÅÅ©·Î ½ÇÇà ¿©ºÎ¸¦ ¹¯´Â´Ù. °ø°ÝÀÚ´Â DOC ¹®¼­ ÆÄÀÏÀÇ ¹öÀüÀÌ ³·¾Æ ¸ÅÅ©·Î¸¦ ½ÇÇàÇؾ߸¸ Á¤»óÀûÀÎ ¹®¼­°¡ º¸Àδٴ °¡Â¥ ¸Þ½ÃÁö¸¦ ÅëÇØ ÀÌ¿ëÀÚÀÇ ¸ÅÅ©·Î ½ÇÇàÀ» À¯µµÇÑ´Ù.

¡ã¾Ç¼º ¹®¼­ ÆÄÀÏ ½ÇÇà½Ã º¸¿©Áö´Â ¸ÅÅ©·Î ½ÇÇà(ÄÜÅÙÃ÷ »ç¿ë) À¯µµ È­¸é[ÀÚ·á=ESRC]


¸¸¾à, ÀÌ¿ëÀÚ°¡ ¡®ÄÜÅÙÃ÷ »ç¿ë¡¯ ¹öÆ°À» Ŭ¸¯ÇØ ¸ÅÅ©·Î°¡ ½ÇÇàµÇ¸é, ¡®Java Update Scheduler¡¯ ÆÄÀÏó·³ À§ÀåÇÑ ¾Ç¼ºÆÄÀÏ(jusched.exe)°ú Á¤»óÀûÀÎ ¹®¼­°¡ ´ÙÀ½°ú °°Àº °æ·Î¿¡ »ý¼ºµÇ°í ¸ô·¡ ½ÇÇàµÈ´Ù.

C:\Users\[»ç¿ëÀÚ °èÁ¤¸í]\AppData\Roaming\jusched.exe (¾Ç¼ºÆÄÀÏ)
C:\Users\[»ç¿ëÀÚ °èÁ¤¸í]\AppData\Roaming\Job Descriptions.doc (Á¤»ó¹®¼­)


¡ã¸ÅÅ©·Î°¡ ½ÇÇàµÇ¾î Ãß°¡ ÆÄÀÏÀÌ »ý¼ºµÈ È­¸é[ÀÚ·á=ESRC]


±×¸®°í ¡®Job Descriptions.doc(Á÷¹« ±â¼ú¼­)¡¯ ¹®¼­ ³»¿ëÀ» º¸¿©ÁÖ¾î, ÀÌ¿ëÀÚ·Î ÇÏ¿©±Ý ÇØ´ç ¹®¼­ÆÄÀÏÀÌ Á¤»óÀ¸·Î º¸À̵µ·Ï ÇöȤÇÑ´Ù. Á¤»ó ¹®¼­ÀÇ Å¸ÀÌƲÀº ¡®Systems Engineer¡¯¶õ Á¦¸ñÀ¸·Î ¹Ì±¹ÀÇ Çϵå¿þ¾î ³×Æ®¿öÅ· ¹× º¸¾È¼­ºñ½º·Î À¯¸íÇÑ ±â¾÷ÀÇ Çѱ¹Áö»ç Á÷¹«±â¼ú°ú ¸ðÁý³»¿ëÀ» ´ã°í ÀÖ´Ù.

Ãß°¡·Î »ý¼ºµÇ´Â ¾Ç¼ºÆÄÀÏÀº ¸¶Ä¡ ÀÚ¹Ù ¾÷µ¥ÀÌÆ® ½ºÄÉÁÙ·¯Ã³·³ À§ÀåÇÏ°í Àִµ¥, ÀÌ ¾Ç¼ºÆÄÀÏÀº Çѱ¹½Ã°£(KST) ±âÁØÀ¸·Î '2019-01-29 21:00:47'¿¡ Á¦À۵ƴÙ. ÀÌ ¾Ç¼ºÄÚµå´Â Çѱ¹ÀÇ Æ¯Á¤ À¥ »çÀÌÆ®¿Í Åë½ÅÀ» ½ÃµµÇÏ°í, °ø°ÝÀÚÀÇ Ãß°¡ ¸í·ÉÀ» ´ë±âÇÑ´Ù.

¡ãÇѱ¹ÀÇ Æ¯Á¤ À¥ »çÀÌÆ®¿Í Åë½ÅÀ» ½ÃµµÇÏ´Â ÄÚµå È­¸é[ÀÚ·á=ESRC]


ESRC´Â À̹ø °ø°Ý¿¡ »ç¿ëµÈ ¾Ç¼ºÄڵ尡 2009³â 7.7 µðµµ½º °ø°Ý ´ç½Ã ÀÌÈÄ¿¡ ¹ß°ßµÆ´ø ´Ù¼öÀÇ ¶óÀڷ罺 °è¿­ÀÇ ¾Ç¼ºÄÚµå¿Í CMD ¹®ÀÚ¿­ Á¶ÇÕ ¹æ½ÄÀÌ À¯»çÇϸç, ¡®Job Descriptions.doc¡¯ ÆÄÀÏ¸íµµ ¿©·¯ Â÷·Ê º¸°íµÈ ¹Ù ÀÖ´Ù°í ¼³¸íÇß´Ù. ¿µ¹® Á÷¹«±â¼ú¼­(Job Description) ¹®¼­·Î À§ÀåÇÑ APT °ø°Ý »ç·Ê´Â ESRC°¡ 2017³â 12¿ù ¡®3.20 °ø°Ý Á¶Á÷ÀÇ ÃֽŠ¿ÀÆÛ·¹ÀÌ¼Ç ÄÚÀÎ ¸Å´ÏÀú(Coin Manager)¡¯·Î °ø°³ÇÑ ¹Ù ÀÖ´Ù.
[¿øº´Ã¶ ±âÀÚ(boanone@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)