라자루스 APT 조직, 오퍼레이션 익스트림 잡(Extreme Job)으로 공격 수행
Contents
라자루스 APT 조직, 오퍼레이션 익스트림 잡(Operation Extreme Job)으로 공격 수행
라자루스(Lazarus)그룹 '익스트림 잡(Operation Extreme Job)' APT 공격
안녕하세요?
이스트시큐리티 CTI 조직인 시큐리티대응센터(이하 ESRC)는 정부후원을 받는 공격자(State-sponsored Actor)가 수행한 최신 지능형지속위협(APT) 캠페인을 확인했습니다.
이 그룹은 이른바 라자루스(Lazarus) 이름으로 널리 알려져 있고, 2018년 09월 06일 미 법무부에서 미국 소니픽쳐스 영화사 해킹, 방글라데시 은행 해킹, 워너크라이 랜섬웨어 유포 등의 혐의로 LA 연방법원에 기소고발을 하였고, 미연방수사국(FBI)에서는 지명수배를 내린 상태입니다.
https://www.fbi.gov/wanted/cyber/park-jin-hyok/@@download.pdf
https://www.justice.gov/opa/press-release/file/1092091/download
특히, 이번에 발견된 공격은 그동안 국내외 주요 침해사고에서 발견됐던 DOC 매크로와 거의 같은 코드기법이 재활용됐으며, 공격벡터상 DOC 파일명도 기존과 동일합니다.
이는 2017년 05월 작성된 ESRC 인텔리전스 리포트 '오퍼레이션 아라비안 나이트'(20170512_ESRC1705_White_Threat Intelligence Report_Arabian Night) 사례와 동일 연장선상에 있다고 볼 수 있습니다.
2019년 01월 30일 새로 발견된 악성파일의 이름은 'Job Description.doc' 으로, 이 워드파일은 2019년 01월 29일 오후 9시 경에 제작되었으며, 다음과 같이 한국어(949) 기반에서 제작된 것을 알 수 있습니다.
ESRC에서는 이번 공격벡터에서 사용된 키워드 등을 활용해 이른바 '극한직업'이라는 의미의 '오퍼레이션 익스트림 잡(Operation Extreme Job)'으로 사이버 작전명을 명명했습니다.
이와 관련된 APT 캠페인을 지속적으로 추적 분석 중이며, …
라자루스(Lazarus)그룹 '익스트림 잡(Operation Extreme Job)' APT 공격
안녕하세요?
이스트시큐리티 CTI 조직인 시큐리티대응센터(이하 ESRC)는 정부후원을 받는 공격자(State-sponsored Actor)가 수행한 최신 지능형지속위협(APT) 캠페인을 확인했습니다.
이 그룹은 이른바 라자루스(Lazarus) 이름으로 널리 알려져 있고, 2018년 09월 06일 미 법무부에서 미국 소니픽쳐스 영화사 해킹, 방글라데시 은행 해킹, 워너크라이 랜섬웨어 유포 등의 혐의로 LA 연방법원에 기소고발을 하였고, 미연방수사국(FBI)에서는 지명수배를 내린 상태입니다.
https://www.fbi.gov/wanted/cyber/park-jin-hyok/@@download.pdf
https://www.justice.gov/opa/press-release/file/1092091/download
특히, 이번에 발견된 공격은 그동안 국내외 주요 침해사고에서 발견됐던 DOC 매크로와 거의 같은 코드기법이 재활용됐으며, 공격벡터상 DOC 파일명도 기존과 동일합니다.
이는 2017년 05월 작성된 ESRC 인텔리전스 리포트 '오퍼레이션 아라비안 나이트'(20170512_ESRC1705_White_Threat Intelligence Report_Arabian Night) 사례와 동일 연장선상에 있다고 볼 수 있습니다.
2019년 01월 30일 새로 발견된 악성파일의 이름은 'Job Description.doc' 으로, 이 워드파일은 2019년 01월 29일 오후 9시 경에 제작되었으며, 다음과 같이 한국어(949) 기반에서 제작된 것을 알 수 있습니다.
ESRC에서는 이번 공격벡터에서 사용된 키워드 등을 활용해 이른바 '극한직업'이라는 의미의 '오퍼레이션 익스트림 잡(Operation Extreme Job)'으로 사이버 작전명을 명명했습니다.
이와 관련된 APT 캠페인을 지속적으로 추적 분석 중이며, …
IoC
78a5c82eb99266ed981f435d8c919a79
fbd1cd15019c0dd6659a59bc93b8596f
http://ilovesvc.com/HomePage1/Inquiry/privacy.asp
http://syadplus.com/search/search_00.asp
fbd1cd15019c0dd6659a59bc93b8596f
http://ilovesvc.com/HomePage1/Inquiry/privacy.asp
http://syadplus.com/search/search_00.asp