Home > Àüü±â»ç

ÇѹÌÁ¤»óȸ´ã °Ü³¶ APT °ø°ÝÁ¶Á÷ ÃßÀûÇß´õ´Ï... ¿ÜÈ­¹úÀ̵µ ¡®Ç÷¾È¡¯

ÀÔ·Â : 2019-04-17 13:19
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
±¹°¡Áö¿ø ÇØÄ¿±×·ì, ÃÖ±Ù ±¹³» ´ëºÏ°ü·Ã Á¾»çÀÚ ³ë¸° ´Ù¾çÇÑ APT °ø°Ý °¨Çà
ESRC, °ø°Ý ±×·ì ÃßÀûÇÏ´Ù ¾ÏȣȭÆó³ª ¾Ç¼º ÇÁ·Î±×·¥ °³¹ß µîÀÇ È°µ¿ ¹ß°ß


[º¸¾È´º½º ¿øº´Ã¶ ±âÀÚ] ÃÖ±Ù ÇѹÌÁ¤»óȸ´ãÀ» °Ü³ÉÇÑ APT °ø°ÝÀÌ ¹ß°ßµÆ´Ù. ƯÈ÷, À̹ø »çÀ̹ö°ø°ÝÀÇ °ø°ÝÀÚµéÀ» ÃßÀûÇÑ °á°ú ´Ü¼øÇÑ APT °ø°ÝÀ» ³Ñ¾î ¾ÏȣȭÆó¿Í ¾Ç¼º ÇÁ·Î±×·¥ °³¹ß µî ¿ÜÈ­¹úÀÌ¿¡ ³ª¼± °ÍÀ¸·Î È®ÀεŠ°ü·Ã ±â°ü ¹× Àü¹®°¡µéÀÇ ÁÖ¸ñÀ» ¹Þ°í ÀÖ´Ù. À̽ºÆ®½ÃÅ¥¸®Æ¼ ½ÃÅ¥¸®Æ¼´ëÀÀ¼¾ÅÍ(ÀÌÇÏ ESRC)´Â ¡®½º¸ðÅ© ½ºÅ©¸°(Smoke Screen)¡¯À̶õ À̸§ÀÇ APT °ø°ÝÀ» ¹ß°ßÇÏ°í ±× ¹èÈÄ·Î ÇѼö¿ø °ø°ÝÀÇ ¹èÈÄ¿´´ø Á¶Á÷(±è¼öÅ° ±×·ì, Kimsuky)À» Áö¸ñÇß´Ù.

¡ãÄ·ÆäÀÎ ½º¸ðÅ© ½ºÅ©¸° È帧µµ[ÀÚ·á=ESRC]


À̹ø °ø°Ý¿¡¼­ ÁÖ¸ñÇÒ Á¡Àº À̵éÀÌ APT °ø°ÝÀº ¹°·Ð ÇØ¿Ü ÇÁ·Î±×·¥ °³¹ß»çÀÌÆ®¿¡ µî·ÏÇØ »çÇ༺ µµ¹Ú ÇÁ·Î±×·¥À̳ª ¾Ç¼º ÇÁ·Î±×·¥À» Á¦ÀÛÇØ ¿ÜÈ­¹úÀÌ¿¡ ³ª¼¹´Ù´Â Á¡ÀÌ´Ù. ƯÈ÷, ¾ÏȣȭÆó °Å·¡¿¡ °ü½ÉÀ» º¸ÀÓÀ¸·Î½á ÃÖ±Ù ±¹³»¿Ü ÀºÇà°ú ±ÝÀ¶Á¤º¸¸¦ ³ë¸° °ø°Ý(º¸¾È´º½º 1¿ù 17ÀÏ ¡®¶óÀڷ罺 ÀÌ¾î ±è¼öÅ°? ºÏÇÑ ÃßÁ¤ ÇØÄ¿±×·ì, ¿ÜÈ­¹úÀÌ ¡®¿ÃÀΡ¯ ±â»ç)À» ÆîÄ£ ±è¼öÅ° ±×·ìÀÇ Çຸ¸¦ ÁüÀÛÇÒ ¼ö ÀÖ´Ù.

Çѱ¹ ´ëºÏ°ü·Ã Á¾»çÀÚ ³ë¸° ½ºÇǾî ÇÇ½Ì °ø°Ý
ESRC¿¡¼­´Â Çѱ¹ÀÇ ´ëºÏ°ü·Ã ºÐ¾ß¿¡ Á¾»çÇÏ´Â Àι°À» ´ë»óÀ¸·Î 4¿ù 11ÀÏ ±âÁØ ½ºÇǾî ÇǽÌ(Spear Phishing) °ø°ÝÀÌ ¼öÇàµÈ °ÍÀ» ¹ß°ßÇß´Ù.

¡ãÇѹÌÁ¤»óȸ´ã °ü·Ã Á¤ºÎ °ü°èÀÚ ¹ß¾ð ³»¿ëÀ¸·Î »çĪÇÑ °ø°Ý »çÁø[ÀÚ·á=ESRC]


ÀÌ´Â Áö³­ 4¿ù 3ÀÏ ¡®ÃÖ±Ù Çѹݵµ °ü·Ã ÁÖ¿ä±¹ µ¿Ç⡯À̳ª ¡®3.17 ¹Ì±¹ÀÇ ÆíŸ°ï ºñ¹Ð ±¹°¡¾Èº¸È¸ÀÇ¡¯¶õ ³»¿ëÀ¸·Î ÀüÆÄµÈ ¡®½ºÅÚ½º ÆÄ¿ö(Operation Stealth Power)¡¯ ÀÛÀüÀÇ APT °ø°Ý ¿¬Àå È°µ¿À¸·Î µå·¯³µÀ¸¸ç, 2014³â Çѱ¹¼ö·Â¿øÀÚ·Â(ÇѼö¿ø) ÇØÅ· °ø°Ý ¹èÈÄ¿Í µ¿ÀÏ Á¶Á÷À¸·Î ¹àÇôÁ³´Ù.

°ø°ÝÀÚ´Â ¡®ÇѹÌÁ¤»óȸ´ã °ü·Ã Á¤ºÎ °ü°èÀÚ ¹ß¾ð¡¯À̶õ Á¦¸ñÀ¸·Î ¼ö½ÅÀÚ¸¦ ÇöȤÇßÀ¸¸ç, ¡®ÇѹÌÁ¤»óȸ´ã °ü·Ã Á¤ºÎ °ü°èÀÚ ¹ß¾ð.hwp¡¯¶õ À̸§ÀÇ ¾Ç¼º ÆÄÀÏÀÌ Ã·ºÎµÇ¾î ÀÖ´Ù. hwp ¾Ç¼º ¹®¼­ ÆÄÀÏÀº ¾ÏȣȭµÈ »óÅ·ΠÀ¯Æ÷µÆÀ¸¸ç, ¾ÏÈ£¸¦ ÀÔ·ÂÇÏÁö ¾ÊÀ» °æ¿ì EPS Ãë¾àÁ¡ÀÌ ÀÛµ¿ÇÏÁö ¾Ê°Ô µÈ´Ù. ¶Ç ¹®¼­ ÆÄÀÏ Ãë¾àÁ¡ÀÌ ÀÛµ¿Çϸé, Çѱ¹ÀÇ Æ¯Á¤ ¸í·ÉÁ¦¾î(C&C) ¼­¹ö¿Í Åë½ÅÀ» ½ÃµµÇÏ°í ¡®first.hta¡¯ ÆÄÀÏÀ» ·ÎµåÇÑ´Ù. ±×¸®°í HTML ÀÀ¿ë ÇÁ·Î±×·¥ È£½ºÆ® ³»ºÎ¿¡ Æ÷ÇԵǾî ÀÖ´Â VBScript Äڵ尡 ½ÇÇàµÈ´Ù.

ÇÑÆí, Áö³­ 2019³â 4¿ù 1ÀÏ ¿ÀÈÄ 5½Ã 15ºÐ(KST)¿¡ ¸¸µé¾îÁø ¡®TaskForceReport.doc¡¯¶õ À̸§ÀÇ ¾Ç¼º ¹®¼­ ÆÄÀÏÀÌ ÇØ¿Ü¿¡¼­µµ °üÂûµÆ´Ù. ESRC´Â ÀÌ ¾Ç¼º DOC ¹®¼­ ÆÄÀÏÀÌ ÃÖ±Ù Çѱ¹ ¹× ¹Ì±¹ µîÁö¿¡¼­ ¹ß»ýÇÑ Æ¯Á¤ ħÇØ»ç°í¿Í ¿¬°èµÇ´Â Á¤È²À» Æ÷ÂøÇß°í, ÇØ´ç À§Çù Á¶Á÷ÀÌ ±¹³»¿Ü ¸ÂÃãÇü Ç¥Àû°ø°Ý¿¡ Àû±Ø °¡´ãÇÏ°í ÀÖÀ» °ÍÀ¸·Î Ç®ÀÌÇß´Ù. ƯÈ÷, Èï¹Ì·Î¿î Á¡Àº ÀÌ APT °ø°Ý¿¡ »ç¿ëµÈ ¾Ç¼ºÄÚµå ½Ã¸®Áî°¡ Çѱ¹¿¡¼­ ¹ß°ßµÈ ¡®±è¼öÅ° Á¶Á÷, ½ºÅÚ½º ÆÄ¿ö ħ¹¬ ÀÛÀü(2019³â 4¿ù 30ÀÏ)¡¯°ú º£À̺ñ Ä·ÆäÀÎ ½Ã¸®ÁîÀÎ °Å´ë À§ÇùÀ¸·Î ´Ù°¡¿Â, ¡®ÀÚÀ̾ðÆ® º£À̺ñ(2019³â 3¿ù 28ÀÏ)¡¯ µî°ú Á÷°£Á¢ÀûÀ¸·Î ¿¬°áµÈ´Ù´Â Á¡À̶ó°í ¼³¸íÇß´Ù.

Áö³­ 3¿ù ¸»ºÎÅÍ 4¿ù ÃʱîÁö Çѱ¹¿¡¼­ ¹ß°ßµÈ ¾Ç¼º HWP ¹®¼­ÆÄÀϵéÀº ¸ðµÎ µ¿ÀÏÇÑ Ãë¾àÁ¡ °ø°Ý ±â¹ýÀÌ È°¿ëµÆÀ¸¸ç, ¹®¼­ÆÄÀÏÀ» ÀÛ¼ºÇÑ °èÁ¤¸íµµ ¡®Tom¡¯À¸·Î ÀÏÄ¡ÇÏ°í ÀÖ´Ù.

¡ãHWP ¾Ç¼º ¹®¼­ ÆÄÀÏ ¸ÞŸµ¥ÀÌÅÍ È­¸é[ÀÚ·á=ESRC]


À§ÀåÀü¼ú°ú ¿¬¸·ÀÛÀüÀÇ ±ÍÀç, Ä·ÆäÀÎ ½º¸ðÅ© ½ºÅ©¸° ¹è°æ
TaskForceReport.doc ¾Ç¼º ÆÄÀÏÀº ÇØ¿Ü¿¡¼­ ¸ÕÀú º¸°íµÆÁö¸¸, ¹®¼­ ÀÚü´Â Çѱ¹¾î ±â¹ÝÀ¸·Î Á¦ÀÛµÆÀ¸¸ç, À¯»çÇÑ º¯Á¾ ÇüÅ°¡ ´Ù¼ö Á¸ÀçÇÑ´Ù. ¾Ç¼º ÆÄÀÏ Á¦ÀÛÀÚ´Â ¡®windowsmb¡¯, ¡®JamFedura¡¯, ¡®Aji¡¯, ¡®DefaultAcount¡¯, ¡®yeri¡¯, ¡®Roberts Brad¡¯ µîÀÇ µ¶Æ¯ÇÑ À©µµ¿ìÁî °èÁ¤ µîÀ» »ç¿ëÇß°í, ºñÆ®ÄÚÀÎ µîÀ» °Å·¡Çϰųª »çÇ༺ µµ¹Ú°ÔÀÓ, ¾ÏȣȭÆó °ü·Ã ÇÁ·Î±×·¥ °³¹ß¿¡ Âü¿©ÇÏ°í ÀÖ´Â °Íµµ È®ÀεƴÙ.

ƯÈ÷, ÀϺΠ°èÁ¤ÀÇ °æ¿ì Çѱ¹ÀÇ Ä«Ä«¿ÀÅå(Kakao Talk)¿¡µµ µî·ÏµÇ¾î ÀÖÀ¸¸ç, ÅÚ·¹±×·¥(Telegram), ½ºÄ«ÀÌÇÁ(Skype) µîÀÇ ¸Þ½ÅÀú ¼­ºñ½º¸¦ ÀÌ¿ëÇÏ°í ÀÖ´Ù.

ESRC´Â Á¾ÇÕÀû ÆÇ´ÜÀ» ÅëÇØ À̹ø APT °ø°Ý ¹èÈÄ¿¡ ¡®Æ¯Á¤ Á¤ºÎÀÇ ÈÄ¿øÀ» ¹Þ´Â Á¶Á÷(state-sponsored actor)¡¯ÀÌ Àִٸ鼭, À̵éÀÌ Çѱ¹¾î, ¿µ¾î µîÀ» ÀÚÀ¯ÀÚÀç·Î ±¸»çÇϸç, ¿Ü±¹ÀÎ °¡Â¥ ÇÁ·ÎÇÊ »çÁøÀ¸·Î º¯ÀåÇØ Àº¹ÐÈ÷ È°µ¿ÇÏ´Â Á¡À» Âø¾ÈÇØ ¡®Ä·ÆäÀÎ ½º¸ðÅ© ½ºÅ©¸°(Campaign Smoke Screen)¡¯À¸·Î ¸í¸íÇß´Ù.

2014³â ÇѼö¿ø ÇØÅ· ¹èÈÄ·Î ºÐ·ùµÈ ÇØ´ç À§Çù Á¶Á÷ÀÌ Çѱ¹°ú ¹Ì±¹ µîÀÇ APT °ø°Ý¿¡µµ °¡´ãÇÏ°í ÀÖ´Â °¡¿îµ¥ Çѱ¹¿¡¼­´Â HWP ¹®¼­ÆÄÀÏ Ãë¾àÁ¡À» ÀÌ¿ëÇÏ°í, ÇØ¿Ü¿¡¼­´Â DOC ¹®¼­ÆÄÀÏ Ãë¾àÁ¡À» È°¿ëÇØ ¸ÂÃãÇü Ç¥Àû°ø°ÝÀ» ¼öÇàÇÏ´Â °ÍÀÌ µå·¯³µ´Ù.

DOC±â¹Ý APT °ø°Ý Àü·« Àü¼ú ¹× À§Çù º¤ÅÍ ºÐ¼®
2019³â 04¿ù 01ÀÏ Á¦ÀÛµÈ ¡®TaskForceReport.doc¡¯(MD5 : d400adcd06e0a07549e2465c9c500c45) ¾Ç¼º ¹®¼­ÆÄÀÏÀº ´ÙÀ½ ÁÖ¼Ò¸¦ ÅëÇØ À¯Æ÷µÆ´Ù.

- tdalpacafarm[.]com/wp-includes/Text/Diff/common/doc.php

±×·±µ¥ ÀÌ ¼­¹ö´Â ÀÌ¹Ì ¡®Oct_Bld_full_view.docm¡¯(MD5 : 1a6f9190e7c53cd4e9ca4532547131af) ¾Ç¼º ¹®¼­°¡ C&C ¼­¹ö·Î »ç¿ëµÈ ¹Ù ÀÖ°í, Palo Alto Networks Unit 42ÆÀ¿¡¼­ ¡®New BabyShark Malware Targets U.S. National Security Think Tanks¡¯¶õ Á¦¸ñÀ¸·Î º¸°íÇÑ ¹Ù ÀÖ´Ù.

´ç½Ã¿¡ »ç¿ëµÈ VBA Äڵ忡¼­ ¡®Vkggy0.hta¡¯ Äڵ尡 Á¤»óÀûÀ¸·Î ·ÎµùµÇ¸é, ³»ºÎ¿¡ Á¸ÀçÇÏ´Â VBScript ¸í·É¿¡ ÀÇÇØ HTTP GET ÀÀ´äÀ» ¹Þ°í Ãß°¡ÀûÀÎ ÆÄ¿ö½© ¸í·ÉµéÀÌ ¿¬ÀÌ¾î ½ÇÇàµÈ´Ù.

À̹ø¿¡ ¹ß°ßµÈ ¾Ç¼º ¹®¼­ ÆÄÀÏ ¿ª½Ã µ¿ÀÏÇÑ ½ÃÄö½º È帧À» °¡Áö°í ÀÖ´Ù. ¸ÕÀú ¾Ç¼º ¹®¼­ ÆÄÀÏÀÌ ½ÇÇàµÇ¸é ¾×Ƽºê ÄÜÅÙÃ÷ ½ÇÇàµÇÁö ¾Êµµ·Ï º¸¾È°æ°í ¸Þ½ÃÁö°¡ º¸À̴µ¥, À̶§ ¸¶Ä¡ ³·Àº MS ¿ÀÇǽº ¹öÀü »ç¿ëÀ¸·Î ÀÎÇØ ³»¿ëÀÌ º¸ÀÌÁö ¾Ê´Â °Íó·³ ÇöȤÇØ [ÄÜÅÙÃ÷ »ç¿ë] ¹öÆ°À» Ŭ¸¯Çϵµ·Ï À¯µµÇÑ´Ù.

¾Ç¼º ¹®¼­ ³»ºÎ¿¡´Â ¡®activeX1.bin¡¯ºÎÅÍ ¡®activeX10.bin¡¯ ÆÄÀÏÀÌ Æ÷ÇԵǾî ÀÖ°í, ±× Áß ¡®activeX2.bin¡¯ ÆÄÀÏ¿¡ Åë½Å È£½ºÆ® ÁÖ¼Ò°¡ Æ÷ÇԵǾî ÀÖÀ¸¸ç, HTA ¸í·É°ú Á¶°Ç¿¡ ÀÇÇØ Ãß°¡ÀûÀÎ C&C ¼­¹ö·Î Åë½ÅÀ» ½ÃµµÇÏ°Ô µÈ´Ù.

TaskForceReport.doc(MD5 : 0f77143ce98d0b9f69c802789e3b1713) ÆÄÀÏ°ú µ¿ÀÏÇÑ À̸§À¸·Î À¯Æ÷µÈ ´Ù¸¥ º¯Á¾ Áß¿¡´Â Áö³­ 3¿ù¿¡ À¯Æ÷µÈ ÀÌ·ÂÀÌ Á¸ÀçÇϴµ¥, À̶§ »ç¿ëµÈ C&C µµ¸ÞÀÎÀº christinadudley[.]com »çÀÌÆ®°¡ »ç¿ëµÆ´Ù. ´ç½Ã ÃÖÁ¾ÀûÀ¸·Î À¯Æ÷µÈ 'exe.gif' ÆÄÀÏÀº BASE64 ÄÚµå·Î ÀÎÄÚµùµÇ¾î ÀÖ´Â »óÅ·ΠµðÄÚµùÀ» °ÅÄ¡¸é, 32ºñÆ® EXE Çü½ÄÀÇ ¾Ç¼ºÄÚµå·Î º¯È¯µÈ´Ù. µðÄÚµùµÈ EXE ÆÄÀÏÀº EGIS Co, Ltd, µðÁöÅÐ ¼­¸íÀÌ Æ÷ÇԵǾî Àִµ¥, ÀÌ ¼­¸íÀº °ú°Å Çѱ¹ÀÇ ¿©·Á ħÇØ»ç°í¿¡¼­ ¾Ç¿ëµÈ ¹Ù ÀÖ´Ù.

DOC °ø°Ýº¤ÅÍ¿¡ »ç¿ëµÈ HTA ½ºÅ©¸³Æ®¸¦ »ìÆ캸¸é, Áö³­ 3¿ù 31ÀÏ°ú 4¿ù 1ÀÏ Çѱ¹¿¡¼­ ¹ß»ýÇß´ø HWP ¾Ç¼º ¹®¼­ ±â¹ÝÀÇ ¡®½ºÅÚ½º ÆÄ¿ö(Operation Stealth Power)¡¯ À§Çù »ç·Ê¿Í À̹ø ¡®½º¸ðÅ© ½ºÅ©¸°(Campaign Smoke Screen)¡¯ ½ºÅ©¸³Æ® Çü½ÄÀÌ À¯»çÇÏ´Ù´Â °ÍÀ» ¾Ë ¼ö ÀÖ´Ù. ±×¸®°í HWP ¾Ç¼º ¹®¼­·Î ¼³Ä¡µÈ ÆÄ¿ö½© ±â¹Ý Å°·Î±ë ±â´ÉÀÇ ÇÔ¼ö(function Start-KeyLogger)µµ DOC ¾Ç¼º¹®¼­ ½Ã¸®Áî¿Í µ¿ÀÏÇÏ°Ô »ç¿ëµÆ´Ù.

À§Çù Á¶Á÷ÀÌ Çѱ¹ ´ë»ó APT °ø°Ý¿¡¼­´Â HWP ¹®¼­ Ãë¾àÁ¡À» »ç¿ëÇÏ°í, Çؿܸ¦ ´ë»óÀ¸·Î »ïÀ» ¶§´Â ¾Ç¼º DOC ¹®¼­¸¦ È°¿ëÇÑ Æ¯Â¡ÀÌ Á¸ÀçÇÑ´Ù.

¡ãÇѱ¹°ú ÇØ¿Ü¿¡¼­ ¹ß°ßµÈ ¾Ç¼º ½ºÅ©¸³Æ® ºñ±³ È­¸é[ÀÚ·á=ESRC]


ƯÈ÷, C&C ¼­¹ö¿Í Åë½ÅÇÒ ¶§ »ç¿ëµÇ´Â ¡®expres.php?op=1¡¯, ¡®cow.php?op=1¡¯ ÆÄÀϸí°ú ÆĶó¹ÌÅͻӸ¸ ¾Æ´Ï¶ó, ÆÄ¿ö½©ÀÌ »ç¿ëÇÏ´Â ÇÔ¼ö ½ºÅ¸Àϵµ ¸Å¿ì À¯»çÇÑ °ÍÀ» ¾Ë ¼ö ÀÖ´Ù. ¶ÇÇÑ, Á¤º¸ À¯Ãâ¿¡ »ç¿ëµÈ ¡®upload.php¡¯ ÆÄÀϸíÀÌ ¿À¹ö·¦µÇ¸ç, HWP Ãë¾àÁ¡ÀÌ »ç¿ëµÈ C&C ¼­¹ö´Â Çѱ¹, DOC Ãë¾àÁ¡ÀÌ ¾²ÀÎ C2´Â Áß°£¿¡ ¡®kr¡¯ ÇÏÀ§ÁÖ¼Ò°¡ Æ÷ÇԵǾî ÀÖ´Ù. ±×¸®°í ¡®VBAWarnings¡¯ ·¹Áö½ºÆ®¸® Å° µî·Ï ºÎºÐ°ú ¡®ttmp.log¡¯ ·Î±× ÆÄÀÏ¸í µîµµ Á¤È®È÷ ÀÏÄ¡µÇ´Â °ÍÀ» È®ÀÎÇß´Ù.

ESRC´Â ¿©·¯ Á¤È²»ó ´Ü¼ø ¿ì¿¬ÀÇ ÀÏÄ¡ÀÏ °¡´É¼ºÀº Èñ¹ÚÇØ º¸ÀÌ°í, ¼­¹ö»çÀÌµå ±â¹ÝÀÇ °ø°Ý ȯ°æ±îÁö À¯»çÇÏ°Ô »ç¿ëÇÑ °ÍÀ¸·Î º¸¾Æ, Çѱ¹¿¡¼­ ¹ß°ßµÈ HWP ¾Ç¼º¹®¼­¿Í ÇØ¿Ü¿¡¼­ º¸°íµÈ DOC ¾Ç¼º¹®¼­°¡ µ¿ÀÏÇÑ À§ÇùÁ¶Á÷¿¡ ÀÇÇØ ¼öÇàµÈ APT °ø°ÝÀ¸·Î ÆÇ´ÜÇß´Ù.

ÈÞ¸Õ À§Çù ÀÎÅÚ¸®Àü½º ±â¹ÝÀÇ °ø°Ý ¹èÈÄ
ESRC´Â seoulhobi[.]biz(192.186.142[.]74) µµ¸ÞÀÎÀÇ µî·ÏÀÚ¸¦ Á¶»çÇÏ´Â °úÁ¤¿¡¼­ °ø°ÝÀÚ°¡ ¡®snow8949@hotmail.com¡¯ À̸ÞÀÏÀ» »ç¿ëÇØ MonoVM È£½ºÆÃÀ» È°¿ëÇÏ°í ÀÖ´Ù´Â °ÍÀ» È®ÀÎÇß´Ù. ƯÈ÷, ESRC´Â µ¿ÀÏÇÏÁö´Â ¾ÊÁö¸¸, 2018³â Çѱ¹ ħÇØ»ç°í¿¡¼­ ¡®snow+¼ýÀÚ¡¯ Á¶ÇÕÀÇ À̸ÞÀÏ ¾ÆÀ̵𸦠»ç¿ëÇÑ °æ¿ì°¡ ÀÖ´ø °ÍÀ» ÆľÇÇÏ°í Á» ´õ ÀÚ¼¼ÇÑ Á¶»ç¿¡ µé¾î°¬´Ù. À̵éÀº Çѱ¹ÀÇ Æ÷Åлç¿Í À¯»çÇÏ°Ô ÇÇ½Ì¿ë µµ¸ÞÀÎÀ» ¸¸µé¾î »ç¿ëÇϴµ¥, µî·ÏÁ¤º¸¿¡ ±¹°¡¸¦ ÀϺ»À¸·Î ¼³Á¤ÇÏ°í, À̸§À» ¡®Jane Jhone¡¯ µîÀ» »ç¿ëÇß´Ù.

¿ì¼± ESRC´Â Áö³­ 2¿ù °æ °ø°ÝÀÚ°¡ »ç¿ëÇÑ ¡®JamFedura¡¯ °èÁ¤¿¡ ÁÖ¸ñÇÒ ÇÊ¿ä°¡ ÀÖ´Ù°í ¼³¸íÇß´Ù. ÀÌ °èÁ¤Àº Æ®À§ÅÍ(Twitter), ÅÚ·¹±×·¥(Telegram), Å©¸³Åä·£¼­(Cryptolancer) µî ¼­·Î ´Ù¸¥ »çÀÌÆ®¿¡ À¯»çÇÑ ÇüÅ·Πµî·ÏµÈ °ÍÀ» È®ÀÎÇÒ ¼ö ÀÖ´Ù.

Æ®À§ÅÍ ¡®@JFedura¡¯ °èÁ¤Àº À§Ä¡°¡ ¹Ì±¹À¸·Î ¼³Á¤µÇ¾î ÀÖÀ¸¸ç 2017³â 12¿ù °¡ÀÔÇß´Ù. ÀÚ½ÅÀÇ ¼Ò°³¶õ¿¡ ÀϺΠ¿µ¹® ¿ÀŸ°¡ Á¸ÀçÇÏÁö¸¸, ¡®¾ÏȣȭÆó °³¹ßÀÚ¡¯ µîÀÌ ¾ð±ÞµÇ¾î ÀÖ´Ù. ±×¸®°í ¾ÏȣȭÆó ºÐ¾ß °³¹ßÀÚ¸¦ ÇÁ¸®·£¼­ ÇüÅ·Π¿¬°áÇØ ÁÖ´Â Å©¸³Åä·£¼­ÀÇ ¡®jamfedura¡¯ °èÁ¤Àº 2019³â 2¿ù °¡ÀÔÇßÀ¸¸ç, ¿ª½Ã ÀÚ½ÅÀ» ¡®¾ÏȣȭÆó °³¹ßÀÚ¡¯·Î ¼Ò°³ÇÏ°í Àִµ¥, À§Ä¡°¡ Áß±¹À¸·Î ¼³Á¤µÇ¾î ÀÖ´Ù. Æ®À§ÅÍ¿¡ ¿Ã·ÁÁø ³»¿ëÀ» »ìÆ캸¸é, ÁÖ·Î ¾ÏȣȭÆó °Å·¡ °ü·Ã ³»¿ëÀ» ¸®Æ®À­Çϰųª ÀϺΠ°èÁ¤À¸·Î ªÀº ¿µ¾î Æ®À­¸¸ º¸³½ ±â·ÏÀÌ ³²¾Æ ÀÖ´Ù.

ÇÑÆí, Çѱ¹ÀÇ ÇÁ·Î±×·¥ °³¹ßȸ»ç¿Í ÇÁ¸®·£¼­ °³¹ßÀÚ¸¦ À̾îÁÖ´Â ¿Â¶óÀÎ ¾Æ¿ô¼Ò½Ì Ç÷§ÆûÀÎ À§½ÃÄÏ(Wishket) »çÀÌÆ®¿¡¼­ Æ®À§ÅÍ¿Í µ¿ÀÏÇÑ ¾ÆÀ̵ð¿Í ÇÁ·ÎÇÊ »çÁøÀ¸·Î È°µ¿ ÁßÀÎ °ÍÀ¸·Î ¹àÇôÁ³´Ù.

´õºÒ¾î 2017³â 08¿ù¿¡´Â ÇØ¿Ü ºñÆ®ÄÚÀÎ Æ÷·³¿¡µµ °¡ÀÔÇØ 2018³â 1¿ù±îÁö È°µ¿ÇÑ À̷µµ Æ÷ÂøµÆ´Ù. À§½ÃÄÏÀÇ Àڱ⠼Ұ³¶õ¿¡´Â 8³â°£ÀÇ °³¹ß °æÇèÀ» °¡Áö°í ÀÖÀ¸¸ç, ¾ÏȣȭÆó °³¹ß¿¡ Àû±Ø Âü¿©ÇÏ°í ÀÖ´Ù´Â ³»¿ë°ú ÇÔ²² ¡®°ÔÀÓ »çÀÌÆ® °³¹ß¡¯, ¡®°¡»ó È­Æó ä±¼ ÇÁ·Î±×·¥ °³¹ß¡¯, ¡®°¡»ó È­Æó °Å·¡ »çÀÌÆ®¡¯ µîÀÇ Æ÷Æ®Æú¸®¿À°¡ µî·ÏµÇ¾î ÀÖ´Ù.

ºñÆ®ÄÚÀÎ Æ÷·³¿¡´Â ¿©·¯ °¡Áö È°µ¿³»¿ëÀÌ Æ÷ÇԵǾî Àִµ¥, ±× Áß¿¡ »ç¿ë ÁßÀÎ À̸ÞÀÏ ÁÖ¼Ò°¡ ¡®jamshine1993@hotmail.com¡¯À¸·Î ¹ß°ßµÆ°í, ÀÌ °èÁ¤Àº ¡®om*****@hotmail.com¡¯À¸·Î ¿¬°áµÇ¾î ÀÖ´Ù.

2018³â 5¿ù °ø°³µÈ Cisco Talos ÆÀÀÇ 'NavRAT Uses US-North Korea Summit As Decoy For Attacks In South Korea' ºÐ¼®ÀÚ·á¿Í ¿¬°áµÇ´Â º¯Á¾ÀÌ À̹ø ½º¸ðÅ© ½ºÅ©¸° Ä·ÆäÀΰú °­·ÂÈ÷ ¿¬°áµÇ°í ÀÖ´Ù. Å»·Î½º ÆÀÀº ¡®NavRAT¡¯ À¯ÇüÀ» ¡®Group123(aka Geumseong121, RedEyes)¡¯ Á¶Á÷ ¿¬°è °¡´É¼ºÀ» Á¶½É½º·´°Ô ÀǽÉÇÑ ¹Ù Àִµ¥, ESRC´Â ÇØ´ç ½Ã¸®Áî°¡ 2014³â ´ç½Ã ÇѼö¿ø °ø°Ý¿¡ »ç¿ëµÈ HWP Ãë¾àÁ¡ ½©ÄÚµå¿Í Á¤È®È÷ ÀÏÄ¡ÇÑ´Ù´Â °ÍÀ» °ËÁõÇß´Ù°í ¹àÇû´Ù. ´õºÒ¾î ½º¸ðÅ© ½ºÅ©¸° °ø°Ý°ÅÁ¡À¸·Î È°¿ëµÈ ƯÁ¤ ¾ÆÀÌÇÇ ´ë¿ª°ú ÀüÇüÀûÀÎ ±³¶õÀü¼ú µîÀÌ ÃÖ±Ù ¿ÀÆÛ·¹À̼ǵé°ú ¿À¹ö·¦µÇ°í ÀÖ´Ù´Â Á¡À» ±Ù°Å·Î ¸é¹ÐÇÑ Á¶»ç¸¦ ¼öÇàÇÏ°í ÀÖ´Ù°í µ¡ºÙ¿´´Ù.

´Ù¾çÇÑ ÀÚü ºÐ¼® µ¥ÀÌÅÍ¿Í ºÐ·ù ±âÁØ¿¡ µû¶ó ½º¸ðÅ© ½ºÅ©¸° APT Ä·ÆäÀÎÀÇ ¹èÈÄ¿¡ ¡®±Ý¼º121(Geumseong121)¡¯ Á¶Á÷º¸´Ù ÇѼö¿øÀ» À§ÇùÇß´ø Á¶Á÷ ±è¼öÅ°°¡ ¿¬°èµÈ °ÍÀ¸·Î ¹Ï°í ÀÖ´Ù°íµµ ¼³¸íÇß´Ù. ´Ù¸¸, µÎ Á¶Á÷ °£ÀÇ Ä§ÇØÁöÇ¥¿¡ °øÅë °í¸®°¡ Á¸ÀçÇß´ø »ç·Ê°¡ ¸î Â÷·Ê ¹ß°ßµÈ ¹Ù ÀÖ¾î »óÈ£ Çù·ÂÇϰųª Á¶Á÷°³Æí, Àη ü°è À̵¿ °¡´É¼ºµµ ¹èÁ¦ÇÒ ¼ö´Â ¾ø´Ù°í ¹àÇû´Ù.

ESRC´Â ½º¸ðÅ© ½ºÅ©¸° ¹èÈĸ¦ Á¶»çÇÏ´Â °úÁ¤¿¡¼­ NavRAT ½Ã¸®Áî·Î ¸í¸íµÈ ¾Ç¼ºÆÄÀÏ º¯Á¾ Áß¿¡ ¡®jamshine1993@hotmail.com¡¯ À̸ÞÀÏ °èÁ¤À¸·Î Åë½ÅÀ» ½ÃµµÇÑ »ç·Ê¸¦ ¹ß°ßÇß´Ù. Åë½Å¿¡ »ç¿ëµÈ ¾ÆÀ̵ð´Â ¡®tiger199392¡¯À̸ç, ±¸±Û ¾÷µ¥ÀÌÆ® ÇÁ·Î±×·¥Ã³·³ À§ÀåµÇ¾î ÀÖ°í, ¡®Jamshine1993@hotmail.com¡¯ ÁÖ¼Ò·Î °¨¿°ÀÚ Á¤º¸¸¦ Àü¼ÛÇÑ´Ù. À̹ø NavRAT À¯ÇüÀÇ ¾Ç¼ºÆÄÀÏÀº 2016³â º¸°íµÈ ¹Ù ÀÖ´Â ±è¼öÅ°(Kimsuky) ½Ã¸®ÁîÀÇ HWP Ãë¾àÁ¡ ÄÚµå(MD5 : c94e5da189bf166fc4a2670685a796a3)¿Í ÀϺΠÀ¯»çÇÑ °èÁ¤(hni)ÀÌ Æ÷ÇÔµÈ °Íµµ ¹ß°ßµÆ´Ù.

ESRC¿¡¼­´Â ÅÚ·¹±×·¥À¸·Î »ç¿ëµÈ 'jamfedura0293' °èÁ¤ÀÌ Çѱ۷Π¿î¿µµÇ´Â Çʸ®ÇÉ ºñÆ®ÄÚÀÎ °Å·¡»çÀÌÆ® 'ºñÆ® ¸¶´Ò¶ó'¿¡ 2019³â 1¿ù 4ÀÏ °¡ÀÔÇÏ°í, ÇÑ±Û ¡®ÄÚÀί1985¡¯¶õ À̸§À¸·Î È°µ¿ÇÑ °ÍÀ» ¹ß°ßÇß´Ù. ÄÚÀί1985 °èÁ¤Àº ¿©·¯ »ç¶÷µéÀÇ ±Û¿¡ ÅÚ·¹±×·¥À¸·Î ¿¬¶ôÀ» À¯µµÇÏ´Â ´ñ±ÛÀ» µî·ÏÇØ Àº¹ÐÇÏ°Ô °Å·¡¸¦ ÁøÇàÇÏ°í ÀÖ¾ú´Ù. ƯÈ÷, Áö³­ÇØ 12¿ù 23ÀÏ ¿Ã·ÁÁø 1500 ºñÆ®ÄÚÀÎ ÆǸŰü·Ã ±Û¿¡ 2019³â 1¿ù 4ÀÏ 23½Ã 58ºÐ¿¡ ´ñ±ÛÀ» ´Þ±âµµ Çß´Ù.

¡ãaji9170, aji199293 ºñ±³ È­¸é[ÀÚ·á=ESRC]


ESRC´Â ÅÚ·¹±×·¥°ú µ¿ÀÏÇÑ ÇÁ·ÎÇÊ »çÁøÀ» »ç¿ëÇÏ´Â ¿©·¯ °èÁ¤µéµµ ¹ß°ßÇß´Ù. Èï¹Ì·Ó°Ôµµ ¾Ç¼ºÄڵ尡 »ç¿ëÇß´ø ¡®tiger1993¡¯ °èÁ¤ÀÌ Ä«Ä«¿ÀÅå¿¡ ¡®coinchange¡¯¶õ À̸§À¸·Î µî·ÏÇÑ °ÍÀ» È®ÀÎÇß´Ù. ±×·±µ¥ ÀÌ °èÁ¤ÀÇ ÇÁ·ÎÇÊ »çÁøÀÌ ÅÚ·¹±×·¥ ¡®@jamfedura0293¡¯ À̹ÌÁö¿Í Á¤È®È÷ ÀÏÄ¡Çß´Ù. ¼­·Î ´Ù¸¥ »ç¶÷ÀÌ Çѱ¹ÀÇ Ä«Ä«¿ÀÅå ¸Þ½ÅÀú¿Í ÅÚ·¹±×·¥¿¡ µ¿ÀÏÇÑ ÇÁ·ÎÇÊ »çÁøÀ¸·Î È°µ¿ÇÑ´Ù´Â °ÍÀº ¿ì¿¬ÀÇ ÀÏÄ¡¶ó°í º¸±â¿¡´Â Çö½ÇÀûÀ¸·Î ¾î·Á¿ö º¸Àδٰí ESRC´Â °­Á¶Çß´Ù.

±×¸®°í ÀÌ¿Í µ¿ÀÏÇÑ ÇÁ·ÎÇÊ »çÁøÀÌ ÇÁ·Î±×·¥ °³¹ßÀÚ¸¦ ¿¬°áÇØ ÁÖ´Â ÇÁ¸®·£¼­ »çÀÌÆ®¿¡¼­µµ ¹ß°ßµÆ´Ù. ÇÁ¸®·£¼­ »çÀÌÆ®¿¡ µî·ÏµÈ ¡®aji9170¡¯ °èÁ¤Àº Çѱ¹À¸·Î µî·ÏµÇ¾î ÀÖ°í, ±âÁ¸ »ç·Ê¿Í µ¿ÀÏÇÏ°Ô ¾ÏȣȭÆó °³¹ßÀÚ Á¤º¸·Î µî·ÏµÇ¾î ÀÖ´Ù. ¡®aji199293¡¯ °èÁ¤Àº ±¹ÀûÀÌ ¹Ì±¹À¸·Î µî·ÏµÇ¾î ÀÖÁö¸¸, Ãʱ⿡´Â ´Ù¸¥ ¾ÆÀ̵ð·Î È°µ¿Çϸç, ±¹ÀûÀº Çѱ¹À¸·Î ¼³Á¤µÈ °æ¿ìµµ È®ÀεƴÙ. ÀÌÀü¿¡´Â »çÇ༺ ¿Â¶óÀÎ °ÔÀÓ °³¹ß¿¡ Çѱ۷ΠÂü¿©ÇÑ ¸ð½Àµµ Æ÷ÂøµÆ°í, PDF Exploit ¿ÜÁÖÁ¦ÀÛ¿¡ °³¹ßÀÌ °¡´ÉÇÏ´Ù´Â ±ÛÀ» µî·ÏÇϱ⵵ Çß´Ù. ¾Ç¼º ÆÄÀÏ Á¦ÀÛ±îÁöµµ Âü¿©ÇÑ Áõ°Å°¡ Æ÷ÂøµÈ °ÍÀÌ´Ù. ±×¸®°í Çѱ¹¾î ±¹ÀûÀ¸·Î µî·ÏµÆ´ø ¡®Migel M¡¯ °èÁ¤Àº ÇÁ·ÎÇÊ »çÁøÀº ¡®aji199293¡¯À̶û µ¿ÀÏÇÏ°í, ±¹ÀûÀÌ ¹Ì±¹¿¡¼­ Çѱ¹À¸·Î ´Ù¸£°Ô ¼³Á¤µÇ¾î ÀÖ´Ù. ESRC¿¡¼­´Â ÇØ´ç °èÁ¤ÀÌ ¼­·Î ´Ù¸¥ °ÍÀÎÁö ºñ±³ÇØ º» °á°ú, µ¿ÀÏÇÑ »ç¿ëÀÚ°¡ Ãʱ⿡ 'Migel M'À¸·Î »ç¿ëÇÏ´Ù°¡ ³ªÁß¿¡ ±¹Àû°ú ¾ÆÀ̵𸦠¸ðµÎ º¯°æÇÑ °ÍÀ¸·Î È®ÀÎÇß´Ù°í ¹àÇû´Ù.

ESRC´Â ±¹°¡Â÷¿øÀÇ »çÀ̹öÀ§Çù °¡´ãÀÚµéÀÌ APT °ø°Ý»Ó¸¸ ¾Æ´Ï¶ó, ½ÇÁ¦ ÇÁ·Î±×·¥ ÁÖ¹®°³¹ß »çÀÌÆ®¸¦ ÅëÇØ ´Ù¾çÇÑ ¼ÒÇÁÆ®¿þ¾î ÇÏûÀ» ¹Þ¾Æ ¿ÜÈ­¹úÀÌ¿¡µµ Àû±Ø Âü¿©ÇÏ°í ÀÖ´Ù´Â °ÍÀ» È®ÀÎÇß´Ù. ƯÈ÷, ¾ÏȣȭÆó °Å·¡ ¹× ¸¶ÀÌ´× ÇÁ·Î±×·¥¿¡ °ü½ÉÀÌ ¸¹¾Ò°í, »çÇ༺ µµ¹Ú °ÔÀÓÀ̳ª ¾Ç¼ºÇÁ·Î±×·¥ °³¹ß ´ëÇàÀ» ÇÏ°í ÀÖ´Ù´Â »ç½Çµµ ¸ñ°ÝµÆ´Ù. ¶ÇÇÑ, ÀÌ °úÁ¤¿¡¼­ Ä«Ä«¿ÀÅå, ½ºÄ«ÀÌÇÁ, ÅÚ·¹±×·¥ µîÀÇ ¸Þ½ÅÀú ¼­ºñ½º¸¦ ÅëÇØ Àº¹ÐÇÏ°Ô °Å·¡ »ç½ÇÀ» ¼û°Ü¿Ô´ø °Íµµ »õ·Ó°Ô µå·¯³µ´Ù. ÀÚ½ÅÀÇ ½ÅºÐÀ» À§ÀåÇÑ Ã¤, ¿Ü±¹ÀÎó·³ Ç༼ÇÏ´Â ¡®½º¸ðÅ© ½ºÅ©¸°¡¯ Ä·ÆäÀÎ ºÐ¼®À» ÅëÇØ APT À§ÇùÀÌ ´Ù¾çÇÑ ÇüÅ·ΠÁøÈ­¸¦ °ÅµìÇÏ°í ÀÖ´Ù°í ESRC´Â °­Á¶Çß´Ù.
[¿øº´Ã¶ ±âÀÚ(boanone@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)