Home > Àüü±â»ç

ÇØÄ¿Á¶Á÷ ±Ý¼º 121, ´ëºÏ°ü·Ã ´Üü Àλç Ÿ±ê »çÀ̹ö°ø°Ý

ÀÔ·Â : 2019-04-29 15:03
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
±Ý¼º121ÀÇ ¡®·ÎÄÏ¸Ç Ä·ÆäÀΡ¯ ¿ÀÆÛ·¹ÀÌ¼Ç ¡®ºí·¢ ¹è³Ê¡¯ APT °ø°Ý µîÀå
Á¦·Îµ¥ÀÌ Ãë¾àÁ¡ ¾Æ´Ñ ÆÐÄ¡µÈ Ãë¾àÁ¡...ÃֽŠ¹öÀüÀ¸·Î ¾÷µ¥ÀÌÆ® Çؾß


[º¸¾È´º½º ¿øº´Ã¶ ±âÀÚ] Áö³­ ÁÖ¸» ´ëºÏ°ü·Ã ´ÜüÀÇ ÁÖ¿ä Àλ縦 ´ë»óÀ¸·Î ½ºÇǾî ÇǽÌ(Spear Phishing) °ø°ÝÀÌ ¼öÇàµÈ Á¤È²ÀÌ Æ÷ÂøµÆ´Ù. À̽ºÆ®½ÃÅ¥¸®Æ¼ ½ÃÅ¥¸®Æ¼ ´ëÀÀ¼¾ÅÍ(ÀÌÇÏ ESRC)´Â ƯÁ¤ Á¤ºÎÀÇ Áö¿øÀ» ¹Þ´Â °ÍÀ¸·Î ¾Ë·ÁÁø ±Ý¼º121 Á¶Á÷ÀÌ ÁÖ¸»µ¿¾È HWP ¹®¼­ÆÄÀÏ Ãë¾àÁ¡À» ±â¹ÝÀ¸·Î ÇÑ APT °ø°ÝÀ» ÆîÄ£ °ÍÀ» È®ÀÎÇß´Ù°í ¹àÇû´Ù. ƯÈ÷, ESRC´Â À̹ø °ø°ÝÀº º°´Ù¸¥ ¼³¸íÀ̳ª ³»¿ë ¾øÀÌ ¹èÆ÷µÅ ¼ö½ÅÀÚ°¡ ´Ü¼ø È£±â½É¿¡ ÷ºÎÆÄÀÏÀ» ¿­¾îº¸µµ·Ï À¯ÀÎÇÏ´Â ÇüŸ¦ ¶ç°í ÀÖ´Ù°í ¼³¸íÇß´Ù.

[À̹ÌÁö=iclickart]


¿ÀÆÛ·¹ÀÌ¼Ç ºí·¢ ¹è³Ê(Operation Black Banner)
ESRC¿¡¼­´Â À̹ø APT °ø°ÝÀÌ ¡®±Ý¼º121(Geumseong121)¡¯ Á¶Á÷ÀÌ ¼öÇà ÁßÀÎ ·ÎÄÏ¸Ç Ä·ÆäÀÎÀÇ ÀÏȯÀ̶ó´Â °ÍÀ» È®ÀÎÇß´Ù. °ø°Ýº¤ÅÍ¿¡´Â ¸¶Ä¡ Á¤»óÀûÀÎ ¹è³Ê À̹ÌÁöÆÄÀÏ·Î À§ÀåÇÑ ¾Ç¼ºÄڵ尡 »ç¿ëµÆ´Âµ¥, ÀÌ·¯ÇÑ Æ¯Â¡À» È°¿ëÇØ »çÀ̹ö ÀÛÀü¸íÀ» ¡®ºí·¢ ¹è³Ê(Operation Black Banner)¡¯·Î À̸§Áö¾ú´Ù°í ¹àÇû´Ù.

¡ãÇѱ¹ÀÇ À̸ÞÀÏ ¼­ºñ½º·Î ¼öÇàµÈ ½ºÇǾî ÇÇ½Ì È­¸é[À̹ÌÁö=ESRC]


Áö³­ ÁÖ¸»µ¿¾È ´Ù¾çÇÑ »ç¿ëÀڵ鿡°Ô ¹èÆ÷µÈ °ÍÀ¸·Î ÃßÁ¤µÇ¸ç, ÁÖ·Î ´ëºÏ°ü·Ã ´Üü¿¡¼­ È°µ¿ÇÑ »ç¶÷µéÀÌ ÁÖ¿ä Ç¥ÀûÀÎ °ÍÀ¸·Î º¸ÀδÙ. °ø°ÝÀÚ´Â 29KB Å©±âÀÇ HWP ¹®¼­ÆÄÀÏÀ» ÷ºÎÇØ °ø°ÝÀ» ¼öÇàÇßÀ¸¸ç, À̸ÞÀÏ º»¹®¿¡´Â º°´Ù¸¥ ³»¿ëÀ» Æ÷ÇÔÇÏ°í ÀÖÁö ¾Ê´Ù.

HWP ¹®¼­ ÆÄÀÏÀÇ BinData ½ºÆ®¸²¿¡´Â ¡®BIN0001.eps¡¯ Æ÷½ºÆ® ½ºÅ©¸³Æ®(Post Script)°¡ Æ÷ÇԵǾî ÀÖ´Ù.

¡ãHWP Æ÷½ºÆ® ½ºÅ©¸³Æ® È­¸é[ÀÚ·á=ESRC]


Æ÷½ºÆ® ½ºÅ©¸³Æ®¿Í ½©Äڵ尡 Á¤»óÀûÀ¸·Î ÀÛµ¿Çϸé, Çѱ¹ÀÇ Æ¯Á¤ À¥»çÀÌÆ®·Î Åë½ÅÀ» ½ÃµµÇÏ°Ô µÈ´Ù. È£½ºÆ®¿Í Åë½ÅÀÌ ÀÌ·ïÁö¸é, ÆÄÀϸíÀÌ GIF À̹ÌÁö ÆÄÀÏó·³ À§ÀåÇÑ ÆÄÀÏÀ» ´Ù¿î·ÎµåÇϴµ¥, ½ÇÁ¦·Î´Â 32ºñÆ® ¾Ç¼º EXE ÆÄÀÏÀÌ´Ù. ¾Ç¼º ÆÄÀÏÀº Çѱ¹½Ã°£(KST) ±âÁØÀ¸·Î 2019³â 4¿ù 18ÀÏ¿¡ Á¦ÀÛµÆÀ¸¸ç, UPX ½ºÅ©·¥ºí ±â¹ýÀÌ Àû¿ëµÇ¾î ÀÖ´Ù.

¡ãÆ÷½ºÆ® ½ºÅ©¸³Æ® ½©ÄÚµå¿Í C2 ÁÖ¼Ò È­¸é[ÀÚ·á=ESRC]


¾Ç¼º ÆÄÀÏÀº 2019³â 4¿ù 29ÀÏ ÇöÀç, Çѱ¹ÀÇ Æ¯Á¤ À¥»çÀÌÆ®¿¡ µî·ÏµÇ¾î ÀÖ´Ù. ESRC´Â ÇØ´ç ¼­¹ö°¡ ħÇØ»ç°í·Î ÀÎÇØ ¾ÇÀÇÀûÀÎ Äڵ尡 µî·ÏµÈ °ÍÀ¸·Î ÆÇ´Ü, Çѱ¹ÀÎÅͳÝÁøÈï¿ø(KISA) µî À¯°ü±â°ü¿¡ °ü·Ã ³»¿ëÀ» °øÀ¯ÇØ ½Å¼ÓÇÑ ´ëÀÀÀÌ ÀÌ·ïÁú ¼ö ÀÖµµ·Ï Çù·ÂÇÏ°í ÀÖ´Ù°í ¹àÇû´Ù.

ESRC¿¡¼­´Â ÇØ´ç Äڵ带 ºÐ¼®ÇÑ °á°ú, ±Ý¼º121 À§Çù Á¶Á÷ÀÌ ¹èÈÄ¿¡ ÀÖ´Ù´Â ´Ü¼­µéÀ» È®º¸Çß´Ù°í ¼³¸íÇß´Ù. ¾Ç¼ºÄÚµå´Â ¡®sogoupin.exe¡¯ ÆÄÀϸíÀ¸·Î µî·ÏµÇ¸ç, Çѱ¹ÀÇ Æ¯Á¤ ¸í·ÉÁ¦¾î(C&C) ¼­¹ö ÁÖ¼Ò·Î Åë½ÅÀ» ½ÃµµÇÑ´Ù.

- youngs.dgweb.kr/skin15/include/bin/home[.]php

¡ãC2 Åë½Å ÆÐŶ È­¸é[ÀÚ·á=ESRC]


C&C ¼­¹ö¿Í Åë½ÅÇÒ ¶§ ¡®srvrlyscss¡¯ ½ºÆ®¸µÀÌ »ç¿ëµÇ´Â °ÍÀ» º¼ ¼ö Àִµ¥, ÀÌ ¹®ÀÚ¿­Àº ±âÁ¸ À¯»ç ħÇØ»ç°í¿¡¼­ Áö¼ÓÀûÀ¸·Î ¹ß°ßµÇ°í ÀÖ´Ù. ÀÌ ¾à¾î´Â ¡®Server Relay Success¡¯ ÁÙÀÓ¸»·Î ÃßÁ¤µÇ°í ÀÖ´Ù. ÀÌ ¹®ÀÚ¿­Àº °ú°Å ±Ý¼º121 ±×·ìÀÇ ÃֽŠAPT Ä·ÆäÀÎ ¡®ÀÛÀü¸í ·ÎÄϸÇ(Operation Rocket Man)¡¯¿¡¼­ °ø°³µÈ ¹Ù ÀÖ´Ù. ±×¸®°í C&C ÁÖ¼Ò·Î »ç¿ëµÈ ¡®youngs.dgweb.kr¡¯ µµ¸ÞÀÎÀº ·ÎÄÏ¸Ç APT Ä·ÆäÀÎ, ¡®¿ÀÆÛ·¹ÀÌ¼Ç °ñµç ¹öµå(Operation Golden Bird)¡¯ ¸®Æ÷Æ®¿¡¼­ µ¿ÀÏÇÏ°Ô »ç¿ëµÈ ¹Ù ÀÖ´Ù.

ÀÌó·³ °ø°ÝÀÚ´Â ±âÁ¸ºÎÅÍ µ¿ÀÏÇÑ TTPs(Tactics, Techniques, and Procedures) ±â¹ÝÀÇ °ø°Ý º¤Å͸¦ ±×´ë·Î ÀçÈ°¿ëÇÏ°í ÀÖ´Ù. ESRC´Â Èï¹Ì·Ó°Ôµµ À̹ø ¾Ç¼º Äڵ忡¼­´Â ´ÙÀ½°ú °°Àº PDB °æ·Î°¡ ½Äº°µÇ±âµµ Çß´Ù°í ¹àÇû´Ù.

- F:\))PROG\ie\test.pdb

¡ãPDB °æ·Î Á¸Àç È­¸é[ÀÚ·á=ESRC]


ÀÌ¿Í À¯»çÇÑ PDB °æ·Î´Â ÀÌ¹Ì À¯»çÇÑ ÇüÅ°¡ ´Ù¼ö º¸°íµÈ ¹Ù ÀÖÀ¸¸ç, 100% µ¿ÀÏÇÑ Äڵ尡 Operation High Expert ³»¿ë¿¡ Æ÷ÇԵǾî ÀÖ´Ù.

ESRC´Â ±Ý¼º121 Á¶Á÷ÀÇ APT °ø°ÝÀÌ ²ÙÁØÈ÷ ÁøÇàµÇ°í ÀÖ´Ù°í ¹àÇû´Ù. ÁÖ·Î ½ºÇǾî ÇÇ½Ì °ø°ÝÀÌ Æ÷ÂøµÇ°í ÀÖÀ¸¸ç, HWP ¹®¼­ ÆÄÀÏÀÇ Ãë¾àÁ¡À» È°¿ëÇÏ°í ÀÖ´Ù°í ¼³¸íÇß´Ù. ESRC¿¡¼­´Â À̵é Á¶Á÷ÀÌ Æ¯Á¤ Á¤ºÎÀÇ ÈÄ¿øÀ» ¹Þ´Â °ÍÀ¸·Î È®½ÅÇÏ°í ÀÖÀ¸¸ç, À§Çù ÀÎÅÚ¸®Àü½º ±â¹ÝÀ¸·Î ¸®¼­Ä¡¸¦ ÁøÇàÇÏ°í ÀÖ´Ù°í µ¡ºÙ¿´´Ù.

¾Æ¿ï·¯ À̹ø °ø°Ý¿¡ »ç¿ëµÈ °ÍÀÌ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡Àº ¾Æ´Ï¸ç, ÀÌ¹Ì º¸¾ÈÆÐÄ¡°¡ ¿Ï·áµÈ °ÍÀ¸·Î ¾Ë·ÁÁ³´Ù. ÀÌ¿¡ µû¶ó ÀÌ¿ëÀÚµéÀº ¹Ýµå½Ã ÃֽŠ¹öÀüÀ¸·Î ¹®¼­ ¼ÒÇÁÆ®¿þ¾î¸¦ ¾÷µ¥ÀÌÆ®ÇØ À¯»çÇÑ À§Çù¿¡ ³ëÃâµÇÁö ¾Êµµ·Ï °¢º°ÇÑ ÁÖÀÇ°¡ ÇÊ¿äÇÏ´Ù°í ´çºÎÇß´Ù.

ÇÑÆí, ¾Ë¾àÀº À̹ø °ø°Ý°ú °ü·ÃµÈ ¾Ç¼ºÄڵ带 ¡®Trojan.Agent.110592C¡¯ ŽÁö¸íÀ¸·Î Ãß°¡Çß´Ù°í ¹àÇû´Ù.
[¿øº´Ã¶ ±âÀÚ(boanone@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)