lazarusholic

Everyday is lazarus.dayβ

北 해킹 조직, 한미연합훈련 기간 중 방위산업체 대상 공격

2022-08-25, ESTSecurity
https://blog.alyac.co.kr/4890
#Kimsuky

Contents

北 해킹 조직, 한미연합훈련 기간 중 방위산업체 대상 공격
안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
한미 연합군사훈련이 22일 시작되어 진행중인 가운데, 한국의 방위산업체를 대상으로 한 사이버 위협 징후가 다수 포착되어 관련 기업 및 기관들의 각별한 주의가 필요합니다.
이번 공격징후는 한미 연합훈련이 시작된 22일 처음 탐지되었습니다.
처음에는 컴퓨터의 아이피 및 맥주소 조회 프로그램으로 위장한 실행파일(.EXE) 형태로 발견되었으며, 해당 파일 실행 시 실제 컴퓨터 네트워크 정보를 출력해주지만 백그라운드에서는 사용자 몰래 백도어 기능의 악성 dll 모듈을 심어 내부 정보 수집 및 외부 탈취를 시도하였습니다.
이후 PDF나 XLSM 문서처럼 보이게 하는 2중 확장자를 추가한 스크립트(JSE, VBS) 공격 방식으로 전환하였으며, 거기에 흔히 바로가기(LNK) 아이콘처럼 보여지는 실행파일(PIF) 확장자를 사용한 공격 수법도 사용였습니다.
ESRC 분석 결과, 이번에 탐지된 위협들은 거의 동일한 악성 패턴을 보이고 있으며, 동일한 미국 소재 아이피(216.189.154[.]6) 주소와 악성 명령을 주고받는 것이 확인되었으며, 이는 동일 조직이 공격방식의 다변화를 통하여 효과적인 공격방식을 찾고 있는 것으로 추측되고 있습니다.
주목할 만한 점은, 국내 방위산업체와 관련된 내부 문건이나 표현이 공격 미끼로 활용되었는데 악성 파일 실행 후 보여지는 정상 …

IoC

216.189.154.6
http://216.189.154.6