라자루스(Lazarus) APT 조직, 텔레그램 메신저로 '진실겜.xls' 악성 파일 공격
Contents
안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
2019년 06월 10일경 ESRC에서는 자체 보안 모니터링 시스템을 통해, '진실겜.xls' 파일명의 악성 문서 파일을 발견했습니다.
File Name |
MD5 |
진실겜.xls |
64edec1d585ba599354f927249e12e6d |
내부 조사결과 라자루스(Lazarus) APT 조직이 배후에 있는 것으로 확인되었습니다.
며칠 전 '라자루스(Lazarus) APT 그룹, 암호화폐 투자계약서 사칭 무비 코인 작전'을 공개한 바 있는데, 최근 비트코인의 시세가 1,500만원을 돌파하면서 특정 정부의 후원을 받는 해킹 조직의 활동이 증가하고 있어 각별한 주의가 필요합니다.
탐지 내역 |
C:\Users\Bit****\Downloads\Telegram Desktop\진실겜.xls |
[표 1] ESRC 자체 모니터링 시스템에서 탐지된 '진실겜.xls' 탐지내역
악성 문서파일은 'PC용 텔레그램(Telegram Desktop)' 메신저의 다운로드 폴더에서 식별되었으며, 암호화폐와 관련된 사용자를 대상으로 유포된 정황이 존재합니다.
[그림 1] ‘진실겜.xls’ 파일 화면
'진실겜.xls'는 인터넷에 있는 오래된 예제용 매크로 코드에 악성 코드를 추가했으며, Auto_Open 함수는 문서가 열리면 자동으로 실행하게 지정해둔 키워드입니다.
악성 파일 제작자의 목적은 봇(Bot)이며, 오피스 프로그램을 사용할 때 발생하는 보안 경고를 스킵하고 매크로 기능을 허용하면, 악의적인 코드가 작동해 보안위협에 노출됩니다.
1. 악성 파일 분석
엑셀 매크로에서 Auto_Open 명령이 실행하는 'Doc_Data' 함수는 악성 파워쉘 스크립트 파일을 생성하고 실행합니다.
즉, 실제 악성 행위는 파워쉘에 의해 동작하며, …
2019년 06월 10일경 ESRC에서는 자체 보안 모니터링 시스템을 통해, '진실겜.xls' 파일명의 악성 문서 파일을 발견했습니다.
File Name |
MD5 |
진실겜.xls |
64edec1d585ba599354f927249e12e6d |
내부 조사결과 라자루스(Lazarus) APT 조직이 배후에 있는 것으로 확인되었습니다.
며칠 전 '라자루스(Lazarus) APT 그룹, 암호화폐 투자계약서 사칭 무비 코인 작전'을 공개한 바 있는데, 최근 비트코인의 시세가 1,500만원을 돌파하면서 특정 정부의 후원을 받는 해킹 조직의 활동이 증가하고 있어 각별한 주의가 필요합니다.
탐지 내역 |
C:\Users\Bit****\Downloads\Telegram Desktop\진실겜.xls |
[표 1] ESRC 자체 모니터링 시스템에서 탐지된 '진실겜.xls' 탐지내역
악성 문서파일은 'PC용 텔레그램(Telegram Desktop)' 메신저의 다운로드 폴더에서 식별되었으며, 암호화폐와 관련된 사용자를 대상으로 유포된 정황이 존재합니다.
[그림 1] ‘진실겜.xls’ 파일 화면
'진실겜.xls'는 인터넷에 있는 오래된 예제용 매크로 코드에 악성 코드를 추가했으며, Auto_Open 함수는 문서가 열리면 자동으로 실행하게 지정해둔 키워드입니다.
악성 파일 제작자의 목적은 봇(Bot)이며, 오피스 프로그램을 사용할 때 발생하는 보안 경고를 스킵하고 매크로 기능을 허용하면, 악의적인 코드가 작동해 보안위협에 노출됩니다.
1. 악성 파일 분석
엑셀 매크로에서 Auto_Open 명령이 실행하는 'Doc_Data' 함수는 악성 파워쉘 스크립트 파일을 생성하고 실행합니다.
즉, 실제 악성 행위는 파워쉘에 의해 동작하며, …
IoC
64edec1d585ba599354f927249e12e6d
https://czinfo.club
https://pegasusco.net
https://smilekeepers.co
https://czinfo.club
https://pegasusco.net
https://smilekeepers.co