금성121 그룹의 최신 APT 캠페인 - '작전명 로켓 맨(Operation Rocket Man)'
Contents
금성121 그룹의 최신 APT 캠페인 - '작전명 로켓 맨(Operation Rocket Man)'
1. 금성121, 최신 APT 캠페인 '작전명 로켓 맨(Operation Rocket Man)'
안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다.
ESRC에서는 지난 03월 20일 미디어를 통해 대북 단체 및 국방분야를 주요 공격 대상으로 사이버 침투활동을 전개해 온 정부지원 APT 위협그룹 금성121(Geumseong121) 조직이 안드로이드 기반 모바일 스피어 피싱(Spear Phishing)공격까지 수행함을 공개한 바 있습니다.
그리고 07월 04일에는 남북이산가족찾기 전수조사 내용으로 사칭한 스피어피싱 이메일 주의를 안내해 드린 바도 있습니다.
[그림 1] 금성121 그룹의 공격 벡터 사례
베일에 쌓여있는 공격자들은 CVE-2018-4878 0-Day 취약점을 카카오톡 메신저로 유포한 바 있고, 악성 HWP 문서를 활용해 은밀한 표적공격도 수차례 시도했습니다.
지난 03월에 발견된 모바일 스피어 피싱(APK)의 경우에는 '불법' 대신 '비법'이라는 표현이 포함된 상태로 악성 APK 악성앱이 유포되었습니다.
금성121 그룹은 특정 정부가 배후에서 지원할 것으로 믿고있는 국가기반 사이버 군대조직으로 한국의 대표 포털사에서 개발한 모바일 백신 앱으로 위장한 공격을 수행했었고, 이와 관련된 악성앱 (Trojan.Android.Fakeav)에 대한 상세한 분석정보를 포스팅 하기도 했었습니다.
[그림 2] 모바일 보안앱 설치로 위장한 악성앱(APK) 설치 유도 …
1. 금성121, 최신 APT 캠페인 '작전명 로켓 맨(Operation Rocket Man)'
안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다.
ESRC에서는 지난 03월 20일 미디어를 통해 대북 단체 및 국방분야를 주요 공격 대상으로 사이버 침투활동을 전개해 온 정부지원 APT 위협그룹 금성121(Geumseong121) 조직이 안드로이드 기반 모바일 스피어 피싱(Spear Phishing)공격까지 수행함을 공개한 바 있습니다.
그리고 07월 04일에는 남북이산가족찾기 전수조사 내용으로 사칭한 스피어피싱 이메일 주의를 안내해 드린 바도 있습니다.
[그림 1] 금성121 그룹의 공격 벡터 사례
베일에 쌓여있는 공격자들은 CVE-2018-4878 0-Day 취약점을 카카오톡 메신저로 유포한 바 있고, 악성 HWP 문서를 활용해 은밀한 표적공격도 수차례 시도했습니다.
지난 03월에 발견된 모바일 스피어 피싱(APK)의 경우에는 '불법' 대신 '비법'이라는 표현이 포함된 상태로 악성 APK 악성앱이 유포되었습니다.
금성121 그룹은 특정 정부가 배후에서 지원할 것으로 믿고있는 국가기반 사이버 군대조직으로 한국의 대표 포털사에서 개발한 모바일 백신 앱으로 위장한 공격을 수행했었고, 이와 관련된 악성앱 (Trojan.Android.Fakeav)에 대한 상세한 분석정보를 포스팅 하기도 했었습니다.
[그림 2] 모바일 보안앱 설치로 위장한 악성앱(APK) 설치 유도 …
IoC
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
05eef00de73498167b2d7ebdc492c429
1213e5a0be1fbd9a7103ab08fe8ea5cb
175.45.178.133
24fe3fb56a61aad6d28ccc58f283017c
255.255.255.240
84cbbb8cdad90fba8b964297dd5c648a
8ab2819e42a1556ba81be914d6c3021f
9525c314ecbee7818ba9a819edb4a885
ab2a4537c9d6761b36ae8935d1e5ed8a
af6721145079a05da53c8d0f3656c65c
b710e5a4ca00a52f6297a3cc7190393a
[email protected]
edc1bdb2d70e36891826fdd58682b6c4
fa39b3b422dc4232ef24e3f27fa8d69e
ff32383f207b6cdd8ab6cbcba26b1430
http://cgalim.com/admin/hr/1.apk
http://cgalim.com/admin/hr/hr.doc
http://cgalim.com/admin/hr/temp.set
http://cnjob.co.kr/data/blog/iindex.php
http://ebsmpi.com/ipin/360/Ant_3.5.exe
http://ebsmpi.com/ipin/360/Ant_4.5.exe
http://ebsmpi.com/ipin/360/desktops.ini
http://ebsmpi.com/ipin/360/down.php
http://endlesspaws.com/vog/denk.zip
http://endlesspaws.com/vog/tan.php?fuck=x
http://m.ssbw.co.kr/admin/form_doc/image/down/down.php
http://m.ssbw.co.kr/admin/form_doc/image/down/worldnews.doc
http://m.ssbw.co.kr/admin/form_doc/image/img/111.hwp
http://m.ssbw.co.kr/admin/form_doc/image/img/Ant_3.5.exe
http://m.ssbw.co.kr/admin/form_doc/image/img/desktops.ini
http://notac.co.kr/admin/case/iindex.php
http://seline.co.kr/datafiles/CNOOC.php
http://www.causwc.or.kr/board_community01/board_community01/index2.php
http://www.icare.or.kr/upload/board/index1.php
http://www.kumdo.org/admin/noti/files/iindex.php
https://www.estsecurity.com/product/threatinside
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
05eef00de73498167b2d7ebdc492c429
1213e5a0be1fbd9a7103ab08fe8ea5cb
175.45.178.133
24fe3fb56a61aad6d28ccc58f283017c
255.255.255.240
84cbbb8cdad90fba8b964297dd5c648a
8ab2819e42a1556ba81be914d6c3021f
9525c314ecbee7818ba9a819edb4a885
ab2a4537c9d6761b36ae8935d1e5ed8a
af6721145079a05da53c8d0f3656c65c
b710e5a4ca00a52f6297a3cc7190393a
[email protected]
edc1bdb2d70e36891826fdd58682b6c4
fa39b3b422dc4232ef24e3f27fa8d69e
ff32383f207b6cdd8ab6cbcba26b1430
http://cgalim.com/admin/hr/1.apk
http://cgalim.com/admin/hr/hr.doc
http://cgalim.com/admin/hr/temp.set
http://cnjob.co.kr/data/blog/iindex.php
http://ebsmpi.com/ipin/360/Ant_3.5.exe
http://ebsmpi.com/ipin/360/Ant_4.5.exe
http://ebsmpi.com/ipin/360/desktops.ini
http://ebsmpi.com/ipin/360/down.php
http://endlesspaws.com/vog/denk.zip
http://endlesspaws.com/vog/tan.php?fuck=x
http://m.ssbw.co.kr/admin/form_doc/image/down/down.php
http://m.ssbw.co.kr/admin/form_doc/image/down/worldnews.doc
http://m.ssbw.co.kr/admin/form_doc/image/img/111.hwp
http://m.ssbw.co.kr/admin/form_doc/image/img/Ant_3.5.exe
http://m.ssbw.co.kr/admin/form_doc/image/img/desktops.ini
http://notac.co.kr/admin/case/iindex.php
http://seline.co.kr/datafiles/CNOOC.php
http://www.causwc.or.kr/board_community01/board_community01/index2.php
http://www.icare.or.kr/upload/board/index1.php
http://www.kumdo.org/admin/noti/files/iindex.php
https://www.estsecurity.com/product/threatinside
[email protected]
[email protected]
[email protected]
[email protected]