ESRC, ¡®ÀÛÀü¸í ¶ó¿îµå Å×À̺í(Operation Round Table)¡¯ ¸í¸í
º»Áö ÃëÀç°á°ú, Çѹ̿ìÈ£Çùȸ¿¡¼ Ưº°Á´ãȸ ½ÇÁ¦ °³ÃÖ ¿¹Á¤À¸·Î µå·¯³ª
[º¸¾È´º½º ¿øº´Ã¶ ±âÀÚ] 21ÀÏ ±âÁ¸ ÇѼö¿ø °ø°ÝÁ¶Á÷ÀÇ »õ·Î¿î °ø°ÝÀÌ ¹ß°ßµÅ °ü°èÀÚµéÀÇ ÁÖÀÇ°¡ ¿ä±¸µÈ´Ù. À̽ºÆ®½ÃÅ¥¸®Æ¼ »çÀ̹ö À§Çù ÀÎÅÚ¸®Àü½º(CTI) Àü¹®Á¶Á÷ÀÎ ½ÃÅ¥¸®Æ¼´ëÀÀ¼¾ÅÍ(ESRC)´Â 2¿ù 21ÀÏ ¿ÀÀü Á¦ÀÛµÈ »õ·Î¿î Áö´ÉÇüÁö¼ÓÀ§Çù(APT) °ø°ÝÀÌ ¹ß°ßµÆÀ¸¸ç, ÃÖ±Ù À̽´ÀÎ ºÏ¹ÌÁ¤»óȸ´ã°ú °ü·ÃµÈ ¹®¼ÆÄÀÏÀ» ¹Ì³¢·Î »ç¿ëÇÏ°í ÀÖ´Ù°í ¹àÇû´Ù.
¡ã°ø°Ý¿¡ »ç¿ëµÈ HWP ¹®¼[À̹ÌÁö=ESRC]
À̹ø¿¡ ¹ß°ßµÈ APT °ø°ÝÀº 2014³â Çѱ¹¼ö·Â¿øÀÚ·Â(ÇѼö¿ø) °ø°Ý¿¡ Á÷Á¢ÀûÀ¸·Î ¿¬°áµÇ¾î Àִ ƯÁ¤ Á¤ºÎ°¡ Áö¿øÇÏ´Â ÇØÅ·Á¶Á÷(ÀÏ¸í ±è¼öÅ° Á¶Á÷)ÀÇ °ø°Ý Ä·ÆäÀÎÀ¸·Î ÃßÁ¤µÈ´Ù. ESRC´Â Áö³ 2018³â 11¿ù 27ÀÏ °ø°³Çß´ø ¡®ÀÛÀü¸í ºí·¢ ¸®¹«Áø(Operation Black Limousine)¡¯ÀÇ ÈÄ¼Ó Ä·ÆäÀÎÀ¸·Î È®ÀÎµÆ´Ù°í ¹àÇû´Ù.
ÇØ´ç Á¶Á÷ÀÌ »ç¿ëÇÑ °ø°Ýº¤ÅÍ´Â À̸ÞÀÏ¿¡ ¾Ç¼º HWP ¹®¼ÆÄÀÏÀ» ÷ºÎÇØ °ø°Ý ´ë»óÀÚ¿¡°Ô Àº¹ÐÈ÷ Àü´ÞÇÏ´Â À̸¥¹Ù ½ºÇǾîÇǽÌ(Spear Phishing) ¼ö¹ýÀÌ »ç¿ëµÈ °ÍÀ¸·Î ºÃ´Ù. À̹ø °ø°ÝÀº µµ³Îµå Æ®·³ÇÁ ¹Ì±¹ ´ëÅë·É°ú ±èÁ¤Àº ºÏÇÑ ±¹¹«À§¿øÀåÀÌ 2019³â 2¿ù 27~28ÀÏ º£Æ®³² ÇϳëÀÌ¿¡¼ °¡Áú ¿¹Á¤ÀÎ 2Â÷ ºÏ¹Ì Á¤»óȸ´ã °á°ú¿¡ ´ëÇÑ Æ¯º°Á´ãȸ ¹®¼ÆÄÀÏÀ» ¹Ì³¢·Î »ç¿ëÇß´Ù´Â Á¡¿¡¼ ÁÖ¸ñ¹Þ°í ÀÖ´Ù.
ESRC´Â Á´ãȸ µîÀÇ Å°¿öµå¸¦ È°¿ëÇØ À̹ø APT °ø°ÝÀ» ¡®ÀÛÀü¸í ¶ó¿îµå Å×À̺í(Operation Round Table)¡¯·Î À̸§À» Áö¾ú´Ù.
½ÇÁ¦ ÁøÇà ¿¹Á¤ÀΠƯº°Á´ãȸ »çĪÇØ °ø°Ý ¸ÞÀÏ ¹ß¼Û
À̹ø °ø°Ý¿¡ »ç¿ëµÈ HWP ÆÄÀÏÀº Çѹ̿ìÈ£Çùȸ°¡ 2Â÷ ¹ÌºÏÁ¤»óȸ´ã °á°ú¿¡ °üÇÑ Æ¯º°Á´ãȸ¸¦ °³ÃÖÇϸç, ÀÌ¿¡ ÃÊûÇÏ´Â ³»¿ëÀÌ ´ã°Ü ÀÖ´Ù. <º¸¾È´º½º>°¡ È®ÀÎÇÑ °á°ú, Çѹ̿ìÈ£Çùȸ´Â Ưº°Á´ãȸ¸¦ ½ÇÁ¦ Áغñ ÁßÀ̸ç, ÇØ´ç À̸ÞÀÏÀº 21ÀÏ ¿ÀÀü¿¡ ¹ß¼ÛÇß´Ù. Á¤È²»ó À̹ø °ø°ÝÀº Çѹ̿ìÈ£Çùȸ ³»ºÎ Á÷¿ø ȤÀº Çùȸ·ÎºÎÅÍ ÃÊû ¸ÞÀÏÀ» ¹ÞÀº ½ÇÁ¦ ȸ¿ø¿¡°Ô¼ Ưº°Á´ãȸ ÃÊûÀå ³»¿ëÀÌ À¯ÃâµÇ¾î °ø°Ý¿¡ »ç¿ëµÈ °ÍÀ¸·Î º¸ÀδÙ.
ÇØ´ç HWP ¹®¼ÆÄÀÏÀº ³»ºÎ Äڵ彺Ʈ¸²ÀÌ Çѱ¹½Ã°£(KST) ±âÁØÀ¸·Î ¡®2019³â 02¿ù 21ÀÏ 10½Ã 45ºÐ(UTC+9)¡¯¿¡ Á¦ÀÛµÈ °ÍÀ» ¾Ë ¼ö ÀÖ´Ù. ¹®¼ÆÄÀÏ ³»ºÎÀÇ ¡®BinData¡¯ ½ºÆ®¸²¿¡´Â ¡®BIN0003.eps¡¯ Æ÷½ºÆ®½ºÅ©¸³Æ®(Post Script) Äڵ尡 Æ÷ÇԵǾî ÀÖÀ¸¸ç, Ãë¾àÁ¡ÀÌ ¹ß»ýÇÏ´Â ±¸°£ÀÌ´Ù. ¾Ç¼º Æ÷½ºÆ® ½ºÅ©¸³Æ®°¡ ÀÛµ¿ÇÏ°Ô µÇ¸é ƯÁ¤ ¸í·ÉÁ¦¾î(C&C) ¼¹ö·Î Åë½ÅÀ» ½ÃµµÇÏ¿©, °ø°ÝÀÚÀÇ Ãß°¡ÀûÀÎ ¸í·ÉÀ» ¼ö½ÅÇÏ°Ô µÈ´Ù. ±×¸®°í ´ÙÀ½°ú °°ÀÌ Á¤»óÀûÀÎ ¹®¼³»¿ëÀ» º¸¿©ÁÖ¾î ÀÌ¿ëÀÚ·Î ÇÏ¿©±Ý ¸¶Ä¡ Á¤»óÀûÀÎ ³»¿ëó·³ ¼ÓÀδÙ.
¡ã¾Ç¼º Æ÷½ºÆ®½ºÅ©¸³Æ® ÄÚµå ȸé[À̹ÌÁö=ESRC]
¡®BIN0003.eps¡¯ µ¥ÀÌÅÍ¿¡ Æ÷ÇԵǾî ÀÖ´Â ¾Ç¼º Æ÷½ºÆ®½ºÅ©¸³Æ®´Â ´ÙÀ½°ú °°ÀÌ ±¸¼ºµÇ¾î ÀÖÀ¸¸ç, ±âÁ¸¿¡ ³Î¸® »ç¿ëµÇ´ø ¹æ½ÄÀÌ ±×´ë·Î »ç¿ëµÇ°í ÀÖ´Ù. Æ÷½ºÆ®½ºÅ©¸³Æ® ÄÚµå´Â ³»ºÎ¿¡ ½©ÄÚµå(Shellcode) ºÎºÐÀ» Æ÷ÇÔÇÏ°í ÀÖÀ¸¸ç, º¯È¯°úÁ¤À» °ÅÄ¡°Ô µÈ´Ù. ½©ÄÚµå ³»ºÎ¿¡´Â °ø°ÝÀÚ°¡ ¼³Á¤ÇÑ ¸í·ÉÁ¦¾î ¼¹ö ÁÖ¼Ò°¡ Æ÷ÇԵǾî Àִµ¥, Çѱ¹ÀÇ Æ¯Á¤ ¼¹ö·Î Åë½ÅÀ» ½ÃµµÇÑ´Ù.
¡ã½©Äڵ忡 ÀÇÇØ Åë½ÅÀ» ½ÃµµÇÏ´Â ¸í·ÉÁ¦¾î ¼¹ö ÄÚµå ȸé[À̹ÌÁö=ESRC]
¾Ç¼ºÄڵ尡 ¸í·ÉÁ¦¾î ¼¹ö¿Í Åë½ÅÀ» ÇÏ°Ô µÇ¸é, ¡®down.php ¸í·É¿¡ ÀÇÇØ ¸¶Ä¡ À̹ÌÁö(PNG)·Î À§ÀåÇÑ ¾ÏÈ£ÈµÈ µ¥ÀÌÅ͸¦ ¼ö½ÅÇÏ°Ô µÈ´Ù. ±×¸®°í ¾ÏÈ£ÈµÈ µ¥ÀÌÅÍ´Â º¹È£È¸¦ °ÅÃÄ Àӽà Æú´õ¿¡ '~emp.dll' ÆÄÀϸíÀ¸·Î »ý¼ºµÇ¾î Ãß°¡ÀûÀÎ ¸í·ÉÀ» ¼öÇàÇÏ°Ô µÈ´Ù.
ƯÈ÷, ÀÌ °ø°ÝÀº ESRC°¡ Áö³ 2018³â 11¿ù 27ÀÏ¿¡ °ø°³Çß´ø ¡®ÀÛÀü¸í ºí·¢ ¸®¹«Áø(Operation Black Limousine)¡¯ Ä·ÆäÀΰú °ø°Ý TTPs(Tactics, Techniques and Procedures) À¯»ç¼ºÀÌ ¸Å¿ì ³ô´Ù°í ¹àÇû´Ù.
2014³â ÇѼö¿ø °ø°Ý¿¡¼ ¹ß°ßµÈ ¹Ù ÀÖ´Â shellcode ±â¹ý°ú µ¿ÀÏÇÑ °ÍÀÌ ³²ºÏÁ¤»óȸ´ã, ºÏ¹ÌÁ¤»óȸ´ã µîÀÇ ³»¿ëÀ¸·Î ¼öÇàµÈ APT °ø°Ý¿¡¼ Áö¼ÓÀûÀ¸·Î ¹ß°ßµÇ°í ÀÖÀ¸¸ç, °¡Àå ÃÖ±Ù¿¡´Â ¡®~emp.exe¡¯, ¡®~emp.dll¡¯ ÆÄÀÏ¸í µîÀ¸·Î »ç¿ëµÆ´Ù. À̹ø 2Â÷ ºÏ¹ÌÁ¤»óȸ´ã Á´ãȸ µîÀÇ ³»¿ëÀ» ´ã°í ÀÖ´ø ¾Ç¼ºÄÚµåÀÇ shellcode °úÁ¤¿¡¼µµ ¡®~emp.dll¡¯ ÆÄÀϸíÀ¸·Î »ç¿ëµÈ °ÍÀÌ ÀÏÄ¡ÇÑ´Ù.
¡ã½©ÄÚµå ºñ±³ ȸé[À̹ÌÁö=ESRC]
ESRC´Â Á¾ÇÕÀûÀÎ À§Çù ÀÎÅÚ¸®Àü½º ºÐ¼®À» ÅëÇØ ±¹°¡ Â÷¿øÀÇ Æ¯º° Áö¿øÀ» ¹Þ´Â À§Çù±×·ì(State-sponsored Actor)ÀÇ È°µ¿ÀÌ ²ÙÁØÈ÷ Áõ°¡ÇÏ°í ÀÖ´Ù´Â °ÍÀ» È®ÀÎÇß´Ù°í ¹àÇû´Ù.
[¿øº´Ã¶ ±âÀÚ(boanone@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>