Home > Àüü±â»ç

¶óÀڷ罺, ÀÚ±ÝÃâó ¼Ò¸íÀÚ·á ¿ä±¸¼­ À§ÀåÇØ ¾ÏȣȭÆó °Å·¡¼Ò ȸ¿ø °ø°Ý

ÀÔ·Â : 2019-08-21 13:01
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
¶óÀڷ罺 APT Á¶Á÷, »çÀ̹ö°ø°ÝÀ» ÅëÇÑ ±ÝÀüÀû ¼öÀͽõµ Áö¼ÓÀû ¼öÇà

[º¸¾È´º½º ¿øº´Ã¶ ±âÀÚ] ºÏÇÑÃßÁ¤ ±¹°¡ÀÇ Áö¿øÀ» ¹Þ´Â °ø°Ý´Üü ¡®¶óÀڷ罺(Lazarus)¡¯ÀÇ »õ·Î¿î °ø°ÝÀÌ ¹ß°ßµÅ »ç¿ëÀÚµéÀÇ ÁÖÀÇ°¡ ¿ä±¸µÈ´Ù. À̽ºÆ®½ÃÅ¥¸®Æ¼ ½ÃÅ¥¸®Æ¼´ëÀÀ¼¾ÅÍ(ÀÌÇÏ ESRC)´Â 8¿ù 13ÀÏ Á¦ÀÛµÈ ½Å±Ô ¾Ç¼º HWP ¹®¼­¸¦ ¹ß°ßÇßÀ¸¸ç, ÇØ´ç ¾Ç¼ºÄڵ带 Á¶»çÇØ º» °á°ú Áö³­ 6¿ùºÎÅÍ 7¿ù±îÁö ±¹³»¿¡¼­ Áö¼ÓÀûÀ¸·Î ¹ß°ßµÇ°í ÀÖ´Â ¡®¹«ºñ ÄÚÀÎ(Movie Coin)¡¯ ½Ã¸®Áî·Î ºÐ¼®µÆ´Ù°í ¹àÇû´Ù.

¡ã½ÇÁ¦ ºñÆ®ÄÚÀÎ °Å·¡Àڵ鿡°Ô Àü¼ÛµÈ ½ºÇǾî ÇÇ½Ì È­¸é[ÀÚ·á=ESRC]


¿ÀÆÛ·¹ÀÌ¼Ç ¡®¹«ºñ ÄÚÀΡ¯Àº À§Çù¹èÈÄ¿¡ ¶óÀڷ罺(Lazarus) ±×·ìÀÌ Á¸ÀçÇÏ´Â °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖ°í, ±¹³» À¯¸í ¾ÏȣȭÆó °Å·¡¼Ò¿¡ °¡ÀԵǾî ÀÖ´ø ȸ¿øµéÀÌ ÁÖ¿ä °ø°Ý ´ë»ó¿¡ Æ÷ÇԵǾî ÀÖ´Ù°í ¼³¸íÇß´Ù.

À̹ø °ø°Ý¿¡ »ç¿ëµÈ ¾Ç¼º HWP ¹®¼­´Â ±âÁ¸°ú ¸¶Âù°¡Áö·Î ¸¶Áö¸· ÀúÀå °èÁ¤ÀÌ ¡®User¡¯À̸ç, µ¿ÀÏÇÑ Æ÷½ºÆ®½ºÅ©¸³Æ®(PostScript) Ãë¾àÁ¡À» È°¿ëÇß´Ù. ±×¸®°í ÀÎÅͳݿ¡ °ø°³µÇ¾î ÀÖ´Â ½ÇÁ¦ °ø¹®¼­ ¾ç½Ä(Àç»êÃëµæ ÀÚ±ÝÃâó¿¡ ´ëÇÑ ¼Ò¸íÀÚ·áÁ¦Ãâ)¿¡ ¾Ç¼º½ºÅ©¸³Æ®¸¦ »ðÀÔÇß´Ù. ÀÎÅͳݿ¡ °ø°³µÇ¾î ÀÖ´Â Á¤»ó¹®¼­´Â ¾Õ¸é°ú µÞ¸é 2ÀåÀ¸·Î ±¸¼ºµÇ¾î ÀÖÁö¸¸, ¾Ç¼º¹®¼­¿¡´Â µÞ¸éÀÇ ¡®¼Ò¸íÀÚ·áÁ¦Ãâ¿ä±¸¼­¡¯ ³»¿ë¸¸ Æ÷ÇԵǾî ÀÖ´Ù.

°ø°ÝÀÚ´Â ½ÇÁ¦ Á¤»ó¹®¼­ ³»¿ëÀ» µµ¿ëÇØ ¾Ç¼ºÄڵ带 »ðÀÔÇÏ°í °ø°Ý¿¡ È°¿ëÇß´Ù. À̹ø°ú À¯»çÇÑ °ø°Ý±â¹ýÀº ÀÌ¹Ì Áö³­ 2017³â 5¿ù ¡®³³¼¼´ãº¸º¯°æ¿ä±¸¼­¡¯ µîÀÇ ¾Ç¼º HWP ÆÄÀÏÀÌ ´Ù¼ö º¸°íµÈ ¹Ù ÀÖ°í, ±× ÀÌÈķεµ º¯Á¾ HWP ÆÄÀÏÀÌ ´Ù¾çÇÑ À¯ÇüÀ¸·Î °ø°Ý¿¡ »ç¿ëµÅ¿Ô´Ù. ƯÈ÷, Çѱ¹ÀÇ Æ¯Á¤ ¾ÏȣȭÆó °Å·¡¼Ò Á÷¿ø ¹× ȸ¿øµéÀ» ´ë»óÀ¸·Î ÁýÁßÀûÀÎ °ø°ÝÀÌ ¼öÇàµÆ´Ù.

ÁÖ·Î HWP Ãë¾àÁ¡ÀÌ »ç¿ëµÇÁö¸¸, °ø°Ý ´ë»ó¿¡ µû¶ó XLS, DOC ¸ÅÅ©·Î ±â´ÉÀ» È°¿ëÇÑ ¹æ¹ýµµ »ç¿ëµÆ´Ù. ´ç½Ã ¾Ç¼º ¹®¼­ÆÄÀÏ Á¦ÀÛÀÚ´Â ºñ½ÁÇÑ ÄÄÇ»ÅÍ °èÁ¤À» »ç¿ëÇß´Ù. ¡âjikpurid ¡âDavid ¡âAdministrator ¡âTiger ¡âUser ¡âalosha µîÀÌ°í, ÃÖ±Ù¿¡´Â ¡âUser °èÁ¤ÀÌ °è¼Ó ¾²ÀÌ°í ÀÖ´Ù.

¼Ò¸í ÀÚ·á Á¦Ã⠿䱸¼­·Î À§ÀåÇÑ ¾Ç¼º HWP ¹®¼­ÆÄÀÏÀº 2019³â 8¿ù 13ÀÏ Äڵ尡 ÀúÀåµÇ¾úÀ¸¸ç, ¡®BinData¡¯ ½ºÆ®¸²¿¡ ¡®BIN0001.PS¡¯ Æ÷½ºÆ®½ºÅ©¸³Æ®(PostScript) Äڵ尡 Æ÷ÇԵǾî ÀÖ´Ù. Æ÷½ºÆ®½ºÅ©¸³Æ®´Â 16¹ÙÀÌÆ®(39 C3 B2 70 05 85 3E 98 66 1C 8B BC 1B DD EA F8>)·Î XOR ·ÎÁ÷À¸·Î ¾Ïȣȭ µÇ¾î ÀÖ´Ù.

¡ãÆ÷½ºÆ®½ºÅ©¸³Æ®¿Í HWP ¹®¼­ÆÄÀÏ Á¤º¸[ÀÚ·á=ESRC]


º¹È£È­°¡ ÁøÇàµÇ¸é 2¹ø° Æ÷½ºÆ®½ºÅ©¸³Æ®(PostScript) Äڵ尡 ³ªÅ¸³ª°Ô µÇ¸ç, ³»ºÎ¿¡ ½©ÄÚµå(Shellcode) ·Îµå¸¦ ¼öÇàÇÑ´Ù. ½©ÄÚµå ¸í·É¿¡ ÀÇÇØ Æ¯Á¤ À¥ ¼­¹ö ÁÖ¼Ò·Î ¿¬°áÀ» ½ÃµµÇÏ°Ô µÇ¸ç, °¨¿°µÈ À©µµ¿ìÁî ½Ã½ºÅÛ¿¡ µû¶ó 32ºñÆ®¿ë, 64ºñÆ®¿ë ¾ÏȣȭµÈ ¾Ç¼ºÄڵ尡 ¼±ÅõȴÙ.

°ø°ÝÀÚ°¡ ¸¸µç ÆÄÀÏ¸í ¡®theme2.db.enc¡¯, ¡®theme4.db.enc¡¯ È®ÀåÀÚ¿¡µµ ¸¶Ä¡ ¾Ïȣȭ(Encrypt)µÈ °ÍÀ» ÀǹÌÇÏ´Â ´Ü¾î°¡ ÁöÁ¤µÇ¾î ÀÖ´Ù. °¢°¢ÀÇ ÆÄÀÏÀº 0xAA Å°·Î 1¹ÙÀÌÆ®¾¿ XOR ·ÎÁ÷À¸·Î ¾ÏȣȭµÇ¾î ÀÖÀ¸¸ç, º¹È£È­¸¦ °ÅÄ¡¸é ¾Ç¼º DLL ÆÄÀÏÀÌ »ý¼ºµÈ´Ù. ÃÖÁ¾ ¾Ç¼º¸ðµâÀº 3°³ÀÇ ¸í·ÉÁ¦¾î(C2) ¼­¹ö·Î Åë½ÅÀ» ½ÃµµÇϸç, °¨¿°µÈ ÄÄÇ»ÅÍÀÇ Á¤º¸¸¦ À¯Ãâ½ÃµµÇÏ°í, °ø°ÝÀÚÀÇ Ãß°¡ ¸í·ÉÀ» ´ë±âÇÑ´Ù.

¡ãC2 Á¢¼Ó ÄÚµå È­¸é[ÀÚ·á=ESRC]


ƯÈ÷ ESRC´Â 3°³ÀÇ C2 µµ¸ÞÀÎÀ» Á¶»çÇÏ´Â °úÁ¤ Áß¿¡ C2 ¼­¹ö 3°÷ ¸ðµÎ °ÅÀÇ µ¿ÀÏÇÑ ½ÃÁ¡¿¡ µ¿ÀÏÇÑ °÷¿¡¼­ µî·ÏµÆ´Ù´Â Á¡À» ¹ß°ßÇß´Ù°í ¹àÇû´Ù. ÀÌ·± Á¡À» À¯ÃßÇØ º¼ ¶§ °ø°ÝÀÚ°¡ Á÷Á¢ C2 ¼­¹ö¸¦ µî·ÏÇÏ°í ±¸ÃàÇØ »ç¿ëÇßÀ» °¡´É¼ºµµ ¹èÁ¦ÇÒ ¼ö ¾ø´Ù´Â °Í. °Ô´Ù°¡ ÃÖ±Ù±îÁö ¿öµå ÇÁ·¹½º ±â¹ÝÀÇ À¥ ¼­¹ö°¡ C2 È£½ºÆ®·Î ¾Ç¿ëµÆ´Ù°í ¼³¸íÇß´Ù.

ÀÌó·³ ESRC´Â ÃÖ±Ù ºñÆ®ÄÚÀÎ, ÀÌ´õ¸®¿ò µî ¾ÏȣȭÆó¸¦ °Å·¡ÇÏ´Â ÀÌ¿ëÀÚ¸¦ ´ë»óÀ¸·Î ÇÑ ²ÙÁØÇÑ APT °ø°ÝÀÌ ¼öÇàµÇ°í Àִٸ鼭, HWP Ãë¾àÁ¡À» ÀÌ¿ëÇÑ ½ºÇǾî ÇǽÌ(Spear Phishing) °ø°ÝÀÌ Àº¹ÐÇÏ°Ô ÁøÇàµÇ°í ÀÖÀ¸¹Ç·Î »ç¿ë ÁßÀÎ ¹®¼­ ¼ÒÇÁÆ®¿þ¾î¸¦ ¹Ýµå½Ã ÃֽŠ¹öÀüÀ¸·Î ¾÷µ¥ÀÌÆ®ÇÏ´Â °ÍÀº ¹°·Ð, DOC, XLS ÆÄÀÏÀÇ ¸ÅÅ©·Î ½ÇÇàÀº Àý´ë Çã¿ëÇÏÁö ¾Ê´Â °ÍÀÌ ÁÁ´Ù°í °­Á¶Çß´Ù.
[¿øº´Ã¶ ±âÀÚ(boanone@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)