라자루스(Lazarus) 그룹, 한국 증권사 직원을 노린 APT 공격 시도
Contents
안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다.
지난 05월 22일 부동산 및 대기업 주식매매 관련 내용을 담은 스피어 피싱(Spear Phishing) 공격이 진행되었습니다.
해당 공격은 20개의 HWP, XLSX, JPEG 파일 등이 이메일에 직접 첨부되어 있고, 별도로 9개의 파일은 대용량 첨부파일 형태로 추가되어 있습니다.
공격자는 다수의 파일을 첨부해 수신자를 현혹하는데 이용했으며, 첫번째 보이는 '※(창고허득)경기 이천 율면 월포리.9980평.급18억.토목완.hwp' 문서 파일에 악성코드를 삽입해 두었습니다.
ESRC는 이번 공격이 특정 정부와 연계된 것으로 알려져 있는 일명 '라자루스(Lazarus)' APT 조직이 배후에 있는 것으로 분석했습니다.
라자루스 조직은 최근까지 국내에서 비트코인을 거래하는 여러 관계자를 주요 표적삼아 공격을 일삼고 있었는데, 이번 공격은 한국내 증권사 직원을 겨냥한 정황이 확인되었습니다.
[그림 1] 스피어 피싱 이메일 화면
첨부되어 있던 악성 HWP 문서 파일이 실행되면 다음과 같은 화면을 보여주지만, 내부에 포함되어 있는 악성 포스트스크립트(PostScript)가 작동하게 됩니다.
[그림 2] 악성 HWP 문서파일이 실행된 화면
악성 문서 내부에는 'BIN0001.ps' 데이터가 포함되어 있고, 내부에는 쉘코드가 작동되도록 만들어져 있습니다.
[그림 3] 포스트스크립트 쉘코드 화면
쉘코드는 'security.vbs' 파일을 생성하고, C2 주소로 접속해 추가 악성파일을 다운로드해 설치하는 과정을 진행합니다.
%appdata%\Microsoft\Internet Explorer\security.vbs ㄴ https://sixbitsmedia[.]com/wp-content/uploads/wp-logs/category.php?uid=0 |
[그림 4] 쉘코드 …
지난 05월 22일 부동산 및 대기업 주식매매 관련 내용을 담은 스피어 피싱(Spear Phishing) 공격이 진행되었습니다.
해당 공격은 20개의 HWP, XLSX, JPEG 파일 등이 이메일에 직접 첨부되어 있고, 별도로 9개의 파일은 대용량 첨부파일 형태로 추가되어 있습니다.
공격자는 다수의 파일을 첨부해 수신자를 현혹하는데 이용했으며, 첫번째 보이는 '※(창고허득)경기 이천 율면 월포리.9980평.급18억.토목완.hwp' 문서 파일에 악성코드를 삽입해 두었습니다.
ESRC는 이번 공격이 특정 정부와 연계된 것으로 알려져 있는 일명 '라자루스(Lazarus)' APT 조직이 배후에 있는 것으로 분석했습니다.
라자루스 조직은 최근까지 국내에서 비트코인을 거래하는 여러 관계자를 주요 표적삼아 공격을 일삼고 있었는데, 이번 공격은 한국내 증권사 직원을 겨냥한 정황이 확인되었습니다.
[그림 1] 스피어 피싱 이메일 화면
첨부되어 있던 악성 HWP 문서 파일이 실행되면 다음과 같은 화면을 보여주지만, 내부에 포함되어 있는 악성 포스트스크립트(PostScript)가 작동하게 됩니다.
[그림 2] 악성 HWP 문서파일이 실행된 화면
악성 문서 내부에는 'BIN0001.ps' 데이터가 포함되어 있고, 내부에는 쉘코드가 작동되도록 만들어져 있습니다.
[그림 3] 포스트스크립트 쉘코드 화면
쉘코드는 'security.vbs' 파일을 생성하고, C2 주소로 접속해 추가 악성파일을 다운로드해 설치하는 과정을 진행합니다.
%appdata%\Microsoft\Internet Explorer\security.vbs ㄴ https://sixbitsmedia[.]com/wp-content/uploads/wp-logs/category.php?uid=0 |
[그림 4] 쉘코드 …
IoC
http://www.dimer-group.com/wp-content/plugins/ckeditor-for-wordpress/ckeditor/plugins/image/download.php
http://www.kartacnictvi.cz/wp-content/plugins/ckeditor-for-wordpress/ckeditor/plugins/image/upload.php
https://ecolerubanvert.com/wp-content/plugins/image-intense/know.php
https://mokawafm.com/wp-content/plugins/ckeditor-for-wordpress/ckeditor/plugins/image/dialog.php
https://sixbitsmedia.com/wp-content/uploads/wp-logs/category.php?uid=0
https://www.tiramisu.it/wp-content/plugins/wp-comment-form.php
http://www.kartacnictvi.cz/wp-content/plugins/ckeditor-for-wordpress/ckeditor/plugins/image/upload.php
https://ecolerubanvert.com/wp-content/plugins/image-intense/know.php
https://mokawafm.com/wp-content/plugins/ckeditor-for-wordpress/ckeditor/plugins/image/dialog.php
https://sixbitsmedia.com/wp-content/uploads/wp-logs/category.php?uid=0
https://www.tiramisu.it/wp-content/plugins/wp-comment-form.php