北 해킹 조직, 韓 국방·안보 전문가를 노린 APT 공격 수행
Contents
北 해킹 조직, 韓 국방·안보 전문가를 노린 APT 공격 수행
안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
한국의 국방·안보 분야 논문심사 및 행사 내용처럼 위장한 사이버 위협 활동이 다수 포착되어 관련자 여러분들의 각별한 주의가 필요합니다.
해당 공격은 지난 월요일에 수행된 것으로 확인되었으며, 실존하는 특정 대학과 연구소의 업무 요청 내용처럼 위장했습니다.
공격자는 전형적인 이메일 기반의 스피어 피싱(Spear Phishing) 공격 기법을 구사했으며, 마치 다가오는 행사의 세부계획 초안 및 논문심사 워드(DOC) 문서 파일처럼 수신자를 현혹했습니다.
ESRC의 분석결과 해당 문서는 실제 이메일에 첨부된 첨부파일 형태가 아니라, 특정 웹 사이트(files.cllouds.great-site[.]net)로 접속 후 악성 워드 파일이 내려지는 것으로 확인되었습니다.
각 이메일에 따라 다운로드되는 파일명은 ‘논문(국방대 65-2-12).doc’, ‘KIMS-CNA Webinar 세부계획 초안.doc’으로, 공격자는 보안 제품의 차단이나 의심을 최대한 피하기 위해 접속 시차에 따라 서버에서 악성과 정상을 선택적으로 배포하는 수법을 동원하였습니다.
이번 공격은 국방·안보 분야의 전현직 고위관계자를 타깃으로 수행됐는데, 만약 워드 파일에 포함된 악성 매크로를 허용할 경우 ‘freunkown1.sportsontheweb[.]net’ 명령 제어(C2) 서버와 은밀히 통신을 수행하고 컴퓨터에 존재하는 정보 수집 및 탈취를 시도합니다. 더불어 이번 공격에 발견된 문서는 공통적으로 ‘kisa’ 이름의 …
안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
한국의 국방·안보 분야 논문심사 및 행사 내용처럼 위장한 사이버 위협 활동이 다수 포착되어 관련자 여러분들의 각별한 주의가 필요합니다.
해당 공격은 지난 월요일에 수행된 것으로 확인되었으며, 실존하는 특정 대학과 연구소의 업무 요청 내용처럼 위장했습니다.
공격자는 전형적인 이메일 기반의 스피어 피싱(Spear Phishing) 공격 기법을 구사했으며, 마치 다가오는 행사의 세부계획 초안 및 논문심사 워드(DOC) 문서 파일처럼 수신자를 현혹했습니다.
ESRC의 분석결과 해당 문서는 실제 이메일에 첨부된 첨부파일 형태가 아니라, 특정 웹 사이트(files.cllouds.great-site[.]net)로 접속 후 악성 워드 파일이 내려지는 것으로 확인되었습니다.
각 이메일에 따라 다운로드되는 파일명은 ‘논문(국방대 65-2-12).doc’, ‘KIMS-CNA Webinar 세부계획 초안.doc’으로, 공격자는 보안 제품의 차단이나 의심을 최대한 피하기 위해 접속 시차에 따라 서버에서 악성과 정상을 선택적으로 배포하는 수법을 동원하였습니다.
이번 공격은 국방·안보 분야의 전현직 고위관계자를 타깃으로 수행됐는데, 만약 워드 파일에 포함된 악성 매크로를 허용할 경우 ‘freunkown1.sportsontheweb[.]net’ 명령 제어(C2) 서버와 은밀히 통신을 수행하고 컴퓨터에 존재하는 정보 수집 및 탈취를 시도합니다. 더불어 이번 공격에 발견된 문서는 공통적으로 ‘kisa’ 이름의 …
IoC
http://files.cllouds.great-site.net
http://freunkown1.sportsontheweb.net
http://sooyeon55.atwebpages.com
http://freunkown1.sportsontheweb.net
http://sooyeon55.atwebpages.com