[º¸¾È´º½º ¿øº´Ã¶ ±âÀÚ] ÃÖ±Ù ¿Ü±³, ±¹¹æ, ÅëÀÏ, ´ëºÏºÐ¾ß µî¿¡ ¼ÓÇÑ ÁÖ¿ä Àι°À» ´ë»óÀ¸·Î ÇÑ »çÀ̹öÀ§ÇùÀÌ Áö¼ÓµÇ°í ÀÖ¾î °ü°èÀÚµéÀÇ °ü½ÉÀ» ¸ðÀ¸°í ÀÖ´Ù. À̽ºÆ®½ÃÅ¥¸®Æ¼ ½ÃÅ¥¸®Æ¼´ëÀÀ¼¾ÅÍ(ÀÌÇÏ ESRC)´Â »çÀ̹ö º¸¾È À§Çù ¼öÀ§°¡ Á¡Á¡ »ó½ÂÇÏ°í ÀÖ´Â °¡¿îµ¥, ÁÖ¿ä Àι°À» »ó´ë·Î »çÀ̹ö øº¸ ¼öÁý È°µ¿ÀÌ ºó¹øÈ÷ ¸ñ°ÝµÇ°í ÀÖ´Ù°í ¹àÇû´Ù. ¾Æ¿ï·¯ ESRC´Â ÀÌ·¯ÇÑ ¸î¸î Áö´ÉÇü Áö¼ÓÀ§Çù(APT) ¹èÈÄ¿¡ ƯÁ¤ Á¤ºÎ°¡ Á¶Á÷ÀûÀ¸·Î °¡´ãÇÏ°í ÀÖÀ¸¸ç, ¼ö³â°£ »çÀ̹ö ÀÛÀüÀ» ÁøµÎÁöÈÖÇÏ°í ÀÖ´Ù°í ÁÖÀåÇß´Ù.
À̵éÀº Çѹݵµ Á¤Ä¡ »óȲÀ̳ª È¥¶õ½º·± »çȸ ºÐÀ§±â¸¦ ƴŸ ½É¸®±â¹Ý °ø°ÝÀ» ÇÏ°í ÀÖÀ¸¸ç, ƯÈ÷ ½Å·ÚÇÒ ¼ö ÀÖ´Â Çѱ¹ÀÇ Á¤ºÎ±â°üÀÌ º¸³½ ³»¿ëó·³ »çĪÇØ ÀÌ¿ëÀÚµéÀ» ÇöȤ½ÃŲ´Ù. ¶ÇÇÑ, »çÀ̹ö Àü·«Àü¼ú ü°è¿¡¼ ±³¶õ ¹× ±â¸¸Àü¼úÀ» Àý¹¦ÇÏ°Ô È°¿ëÇØ À§ÇùÀÌ ½ÃÀÛµÈ ¿øÁ¡ÆľÇÀ̳ª Á¶Á÷¼Ó¼º ºÐ¼®¿¡ È¥¼±ÀÌ »ý±âµµ·Ï ¸¸µç´Ù.
À̹ø¿¡ ¹ß°ßµÈ ±è¼öÅ°(Kimsuky) Á¶Á÷ÀÇ ÃֽŠAPT °ø°ÝÀÎ ¡®¿ÀÆÛ·¹ÀÌ¼Ç ÆäÀÌÅ© ½ºÆ®¶óÀÌÄ¿(Operation Fake Striker)¡¯´Â Çѱ¹ ±â°üÀ» »çĪÇÏ°í, ¾Æ¸£ÇîƼ³ª À¯¸í Ã౸ ¼±¼öÀÎ FC¹Ù¸£¼¿·Î³ª ¼Ò¼ÓÀÇ ¡®¸®¿À³Ú ¸Þ½Ã¡¯¿Í À¯»çÇÑ °èÁ¤À» »ç¿ëÇÑ °ÍÀ¸·Î È®ÀεƴÙ.
ÅëÀϺθ¦ »çĪÇÑ ¡®¿ÀÆÛ·¹ÀÌ¼Ç ÆäÀÌÅ© ½ºÆ®¶óÀÌÄ¿(Operation Fake Striker)¡¯
ESRC´Â ÃÖ±Ù APT °ø°ÝÀ» ¹ÞÀº °ÍÀ¸·Î Àǽɵȴٴ Á¦º¸¿Í ÇÔ²² ½Å¼ÓÇÑ ºÐ¼®ÀÌ ÇÊ¿äÇÏ´Ù´Â ±ä±Þ ÀÇ·Ú¸¦ ¹Þ¾Ò´Ù°í ¹àÇû´Ù. º¸¾ÈÇù·Â°ú ÇÔ²² Á¦ÇÑÀûÀ¸·Î Á¢¼öµÈ ĸó ȸéÀ» ÅëÇØ ÅëÀϺΠÁ¤¼¼ºÐ¼®ÃÑ°ý°ú ¹ß½Å ¸íÀÇ·Î À§ÀåµÈ »ç½Ç°ú Çѹݵµ ºñÇÙÈ ´ëÈÀç°³ ÃßÁø ÇöȲ Âü°íÀÚ·áó·³ ²Ù¸çÁø ³»¿ëµµ ÆľǵƴÙ.
¡ãÅëÀϺΠ»çĪ ½ºÇǾî ÇÇ½Ì À̸ÞÀÏ[ÀÚ·á=ESRC]
ÀÌ·± ¹æ½ÄÀº À̸ÞÀÏ Á¦¸ñÀ¸·Î Çѱ¹ Á¤ºÎ±â°üÀ» »çĪÇßÁö¸¸, ¼Û¼ö½ÅÀÚ °èÁ¤ ¸ðµÎ µ¿ÀÏÇÑ Æ÷Åлç À̸ÞÀÏ ¼ºñ½º¸¦ È°¿ëÇØ, ¡®¸ÞÀϼ¹ö µî·ÏÁ¦(SPF : Sender Policy Framework)¡¯, DKIM(DomainKeys Identified Mail), DMARC(Domain-based Message Authentication, Reporting, and Conformance)¸¦ ÅëÇÑ »çÀüÂ÷´ÜÀº Çö½ÇÀûÀ¸·Î ½±Áö ¾Ê´Ù. ´õºÒ¾î ÈçÀûÀÌ ³²°Å³ª ¿ÜºÎ¿¡ ½Å°íµÇÁö ¾Êµµ·Ï, À̸ÞÀÏÀ» È®ÀÎ ÈÄ ²À »èÁ¦Ç϶ó´Â ´çºÎÀÇ Ç¥Çöµµ ÀØÁö ¾Ê¾Ò´Ù.
¿©±â¼ Áß¿äÇÑ Á¡Àº ±âÇÑÀ» Á¤ÇØ È¸½ÅÀ» À¯µµÇÑ °ÍÀε¥, ³ª¸§ °ü½ÉÀ¯¹ß°ú ½É¸®Àû ¾Ð¹ÚÀ» ÅëÇØ Ã·ºÎµÈ ¹Ì³¢ ÆÄÀÏÀ» ¹Ù·Î ¿¾î º¸µµ·Ï À¯µµÇÑ °ÍÀÌ´Ù. ¹°·Ð, ÷ºÎµÈ Âü°íÀÚ·á´Â ¾ÇÀÇÀû Äڵ带 Æ÷ÇÔÇÑ ¾Ç¼º HWP ¹®¼ÆÄÀÏÀ̸ç, Ãë¾àÁ¡ ¿©ºÎ¿¡ µû¶ó ¶Ç ´Ù¸¥ À§Çù¿¡ ³ëÃâµÉ ¼ö ÀÖ´Ù.
ÇÑ ´Ü°è ´õ ³µ¶ÈµÈ ¾Ç¼º HWP ¹®¼ °ø°Ý ±â¹ý µîÀå
ESRC´Â ÇöÀç ±è¼öÅ°(Kimsuky) Á¶Á÷ÀÇ »çÀ̹ö À§Çù È°¼ºµµ´Â ¸Å¿ì ³ôÀº ÆíÀ̸ç, ½ºÇǾî Çǽ̰ú ¿öÅ͸µ Ȧ µî »óȲ¿¡ ¸Â´Â °ø°Ý º¤Å͸¦ ÀûÀýÈ÷ ±¸»çÇÏ°í ÀÖ´Ù°í ¼³¸íÇß´Ù. ƯÈ÷ 5¿ù¿¡ »õ·Ó°Ô ½Äº°µÈ HWP ¾Ç¼º ÆÄÀÏÀº Àüü À§Çù º¤ÅÍ È帧À¸·Î ºÃÀ» ¶§ Å« Â÷ÀÌÁ¡Àº ¾øÀ¸¸ç, ±âÁ¸¿¡ ¾Ë·ÁÁ® ÀÖ´ø Æ÷½ºÆ® ½ºÅ©¸³Æ®(Post Script)¿Í ½©ÄÚµå(Shellcode) ³µ¶È ÆÐÅÏÀ» ²ÙÁØÈ÷ º¯°æÇÏ¸é¼ º¸¾È Á¦Ç°ÀÇ Å½Áö¸¦ ¿ìȸÇϴµ¥ ÁýÁßÇÏ°í ÀÖ´Ù. ¾Ç¼º HWP ¹®¼°¡ ½ÇÇàµÇ¸é ´ÙÀ½°ú °°Àº ȸéÀ» º¸¿©ÁÖ¾î, ÀÌ¿ëÀÚ·Î ÇÏ¿©±Ý ¸¶Ä¡ Á¤»óÀûÀÎ ¹®¼·Î ÀνÄÇϵµ·Ï ¸¸µç´Ù.
¡ã¾Ç¼º ¹®¼°¡ ½ÇÇàµÈ ÈÄ º¸À̴ ȸé[ÀÚ·á=ESRC]
¶ÇÇÑ, ½ºÅÚ½º ÆÄ¿ö ħ¹¬ÀÛÀü ¶§Ã³·³ ¹®¼ ¼ÒÇÁÆ®¿þ¾î ¾ÏÈ£ ¼³Á¤ ±â´ÉÀ» ÀûÀýÈ÷ »ç¿ëÇØ, ºñ¹Ð¹øÈ£¸¦ ÀÔ¼öÇϱâ Àü±îÁö ¾Ç¼º ¿©ºÎ¸¦ ÆľÇÇÏÁö ¸øÇϵµ·Ï ¹æÇØ Àü¼úÀ» ±¸»çÇÑ´Ù°í ¼³¸íÇß´Ù. ¹°·Ð °ø°ÝÀÚ´Â ½ÃÁ¡¿¡ µû¶ó ¾ÏÈ£°¡ ¼³Á¤µÇÁö ¾ÊÀº ¾Ç¼º ¹®¼¸¦ ÅõÆ®·¢À¸·Î »ç¿ëÇϱ⵵ ÇÑ´Ù. À̹ø¿¡ Á¢¼öµÈ ¡®Âü°íÀÚ·á.hwp¡¯ ÆÄÀÏÀ» È®ÀÎÇØ º¸¸é, 10ÀÚ¸®ÀÇ Æ¯Á¤ ¾ÏÈ£¹®ÀÚ°¡ ¼³Á¤µÇ¾î ÀÖ¾ú°í, ¹®¼ ÀÛ¼ºÀÚ´Â ¡®ÀÓº´Ã¶¡¯, ¸¶Áö¸· ÀúÀåÀÚ´Â ¡®MESSI¡¯ °èÁ¤ÀÌ »ç¿ëµÆ´Ù.
¡ãHWP ¹®¼ÆÄÀÏ ³»ºÎ Æ÷¸Ë Á¤º¸[ÀÚ·á=ESRC]
±è¼öÅ° Á¶Á÷ÀÌ È°¿ëÇÑ ¾Ç¼º HWP ¹®¼µé Áß¿¡´Â µ¿ÀÏ ÀÛ¼ºÀÚ°¡ Æ÷ÇÔµÈ ¹®¼°¡ ¿©·¯ Â÷·Ê ¹ß°ßµÈ ¹Ù Àִµ¥, ESRC´Â Æǹ®Á¡ ¼±¾ð °ü·Ã ³»¿ëÀÇ ¹®¼·Î ¼öÇàµÈ <ÀÛÀü¸í ¿øÁ¦·Î(Operation Onezero) APT °ø°Ý ºÐ¼®> ÀÚ·á¿¡¼´Â ±è¼öÅ° Á¶Á÷°ú ±Ý¼º121 Á¶Á÷ÀÌ ¿À¹ö·¦µÈ »ç·Ê¸¦ °ø°³ÇÑ »ç·Ê°¡ ÀÖ´Ù.
¡ã±è¼öÅ°¿Í ±Ý¼º121 ºñ±³ ÀÚ·á ȸé[ÀÚ·á=ESRC]
ÇÑÆí, ¾Ç¼ºÄڵ尡 ¼öÁýÇÑ Á¤º¸°¡ C2 ¼¹ö·Î Àü¼ÛµÉ ¶§´Â ´ÙÀ½°ú °°Àº Åë½Å ¸Å°³º¯¼ö Æû µ¥ÀÌÅÍ°¡ »ç¿ëµÇ´Âµ¥, °ú°Å ¡®¿ÀÆÛ·¹ÀÌ¼Ç ±è¼öÅ°(Kimsuky)ÀÇ Àº¹ÐÇÑ È°µ¿, Çѱ¹ ¸ÂÃãÇü APT °ø°ÝÀº ÇöÀç ÁøÇàÇü¡¯À̶õ Á¦¸ñÀ¸·Î ESRC°¡ °ø°³Çß´ø ÀÚ·á¿Í µ¿ÀÏÇÑ ÆÐÅÏÀÇ ¹®ÀÚ¿ÀÌ ±×´ë·Î »ç¿ëµÇ¾ú°í, ¡®GHOST419.down¡¯ ÆÄÀÏÀ» XOR 0xFF·Î º¯È¯ÇÏ´Â °Íµµ µ¿ÀÏÇÏ´Ù°í ESRC´Â ¼³¸íÇÏ°í ÀÖ´Ù.
WebKitFormBoundarywhpFxMBe19cSjFnG
¡ã2017³â ¹ß°ßµÈ À¯»ç À§Çù »ç·Ê[ÀÚ·á=ESRC]
±×¸®°í Ãß°¡ ´Ù¿î·Îµå ¸í·ÉÀ» ¹Þ±â À§ÇØ »ç¿ëÇÏ´Â ÀÎÀÚ°ªÀ¸·Î ¡®tjdrhd16¡¯ Äڵ尡 »ç¿ëµÈ´Ù. ÀÌ ¿µ¹® ¾ËÆĺª ºÎºÐÀ» Å°º¸µå ÇÑ±Û ÀԷ»óÅ·ΠŸÀÌÇÎÇÏ¸é ¡®¼º°ø16¡¯À̶ó´Â Ç¥ÇöÀ¸·Î º¯È¯µÈ´Ù. °ø°ÝÀÚ°¡ ÇÑ±Û ÀÚÆÇÀ» »ç¿ëÇÏ°í ÀÖ´Ù´Â ÈçÀûÀ̸ç, °¨¿°µÈ ÄÄÇ»ÅÍÀÇ Á¤º¸ ¼öÁýÀ» ÅëÇØ ÈļӰø°Ý±îÁö ÁغñµÇ¾î ÀÖ´Ù´Â °ÍÀ» ¾Ë ¼ö ÀÖ´Ù.
Ãß°¡·Î ¹Þ¾ÆÁø ÆÄÀÏÀº ¡®VMProtect¡¯ ÇÁ·Î±×·¥À¸·Î ÆÐÅ·µÇ¾î ÀÖÀ¸¸ç, ƯÁ¤ À̸ÞÀÏ ¼ºñ½º·Î Á¤º¸¸¦ Àü¼ÛÇÏ´Â °ÍÀ¸·Î È®ÀεƴÙ. ´Ù¸¸ ÇöÀç ÀϺΠÄڵ尡 ¼Õ»óµÈ °ÍÀ¸·Î º¸¿© ÇöÀç È®ÀÎÁßÀ̶ó°í ESRC´Â ¼³¸íÇß´Ù. ÀÌ¿Í ÇÔ²² ÀÌ¿Í ºñ½ÁÇÑ º¯Á¾À» È®º¸ÇØ ºÐ¼®ÇÏ°í ÀÖÀ¸¸ç, ħÇØÁöÇ¥(IoC)¿Í Á¾ÇÕ ºÐ¼®ÀÚ·á´Â ÃßÈÄ ¾²·¿ÀλçÀ̵å À§Çù ÀÎÅÚ¸®Àü½º ¼ºñ½º¸¦ ÅëÇØ °ø°³ÇÏ°Ú´Ù°í ¹àÇû´Ù.
[¿øº´Ã¶ ±âÀÚ(boanone@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>