금성121(Geumseong121) 정부기반 APT그룹, '코리안 스워드(Operation Korean Sword) 작전' 수행 중
Contents
금성121(Geumseong121) 정부기반 APT그룹, '코리안 스워드(Operation Korean Sword) 작전' 수행 중
안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다.
특정 정부가 배후에 있는 것으로 알려져 있는 위협그룹 중에 '금성121(Geumseong121)' 조직은 글로벌 보안회사들이 다양한 이름으로 명명하고 있습니다. 그중 대표적 그룹명을 알파벳 순으로 나열하면 'APT37', 'Group123', 'RedEyes', 'ScarCruft' 등이 있습니다.
지난 02월 저희는 이 위협그룹이 카카오톡 메신저로 'Flash Player Zero-day (CVE-2018-4878)' 취약점 공격을 수행한 사례를 소개한 바 있으며, 그 이후에도 스피어 피싱(Spear Phishing)을 통해 한국에 집중 표적공격을 수행하고 있다는 것을 확인했습니다.
그리고 07월~08월에는 '남북이산가족찾기 전수조사' 내용으로 APT 공격을 수행한 사례와 '작전명 로켓 맨(Operation Rocket Man)' 분석자료를 공개한 바 있습니다. 물론, 아직 공개되지 않은 실제 침해사고 사례들이 다양하게 존재합니다.
금성121 APT '작전명 코리안 스워드(Operation Korean Sword)'
공개하지 않았던 사례 중 한국의 대북관련 단체나 활동가들을 상대로 다음과 같은 스피어 피싱 기반이 수행되었고, 이 공격 벡터는 08월부터 09월까지 문서내용이 동일하지만 코드가 달라진 변종이 연속적으로 발견됩니다.
악성 문서파일의 타이틀은 '7주 신뢰와 배려의 커뮤니케이션'이며 이 내용은 여러 보안 전문가들이 분석한 자료를 공개한 바 있고, …
안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다.
특정 정부가 배후에 있는 것으로 알려져 있는 위협그룹 중에 '금성121(Geumseong121)' 조직은 글로벌 보안회사들이 다양한 이름으로 명명하고 있습니다. 그중 대표적 그룹명을 알파벳 순으로 나열하면 'APT37', 'Group123', 'RedEyes', 'ScarCruft' 등이 있습니다.
지난 02월 저희는 이 위협그룹이 카카오톡 메신저로 'Flash Player Zero-day (CVE-2018-4878)' 취약점 공격을 수행한 사례를 소개한 바 있으며, 그 이후에도 스피어 피싱(Spear Phishing)을 통해 한국에 집중 표적공격을 수행하고 있다는 것을 확인했습니다.
그리고 07월~08월에는 '남북이산가족찾기 전수조사' 내용으로 APT 공격을 수행한 사례와 '작전명 로켓 맨(Operation Rocket Man)' 분석자료를 공개한 바 있습니다. 물론, 아직 공개되지 않은 실제 침해사고 사례들이 다양하게 존재합니다.
금성121 APT '작전명 코리안 스워드(Operation Korean Sword)'
공개하지 않았던 사례 중 한국의 대북관련 단체나 활동가들을 상대로 다음과 같은 스피어 피싱 기반이 수행되었고, 이 공격 벡터는 08월부터 09월까지 문서내용이 동일하지만 코드가 달라진 변종이 연속적으로 발견됩니다.
악성 문서파일의 타이틀은 '7주 신뢰와 배려의 커뮤니케이션'이며 이 내용은 여러 보안 전문가들이 분석한 자료를 공개한 바 있고, …