북한 연관 그룹 추정 PDF 문서를 이용한 APT 공격
Contents
북한 연관 그룹 추정 PDF 문서를 이용한 APT 공격
PDF 문서를 이용한 북한 연관 그룹 소행으로 추정되는 타깃형 공격이 확인되었다. 공격 그룹은 김수키(Kimsuky) 혹은 탈륨(Thallium)으로 추정되지만, 이를 모방한 공격 그룹의 소행일 가능성도 있다. 관련 내용은 이미 언론에 보도된 내용이지만, 본 블로그에서는 공개되지 않은 IOC와 취약점 발현 환경 등의 분석 정보를 추가로 공개한다.
공격자는 PDF 문서 파일을 공격 미끼로 이용하였다. Adobe Acrobat 프로그램 취약점을 통해 PDF 문서에 포함되어 있는 악성 JavaScript를 실행하고, 시스템 메모리에 악성 EXE 파일 – 파일 번호 [2], [4]을 실행한다. Use-After-Free 취약점 CVE-2020-9715 을 이용한 것으로 보고 있다. 현재는 보안 업데이트로 패치 완료된 취약점으로서, 업데이트되지 않은 Adobe Acrobat 프로그램 사용자가 공격 피해를 입을 수 있다.
악성 PDF 문서 파일은 총 7개가 확인되었다. 취약점 테스트 용도(PoC)를 제외하고 실제로 공격에 이용되었을 것으로 보이는 파일은 4개 – 파일 번호 [1], [3], [11], [12]이다. 공통적으로 남북관계 관련 내용을 포함하고 있어서 이와 연관된 개인 또는 조직을 타깃으로 공격하였을 것으로 보인다. PDF 문서 파일을 이용한 공격은 기존 …
PDF 문서를 이용한 북한 연관 그룹 소행으로 추정되는 타깃형 공격이 확인되었다. 공격 그룹은 김수키(Kimsuky) 혹은 탈륨(Thallium)으로 추정되지만, 이를 모방한 공격 그룹의 소행일 가능성도 있다. 관련 내용은 이미 언론에 보도된 내용이지만, 본 블로그에서는 공개되지 않은 IOC와 취약점 발현 환경 등의 분석 정보를 추가로 공개한다.
공격자는 PDF 문서 파일을 공격 미끼로 이용하였다. Adobe Acrobat 프로그램 취약점을 통해 PDF 문서에 포함되어 있는 악성 JavaScript를 실행하고, 시스템 메모리에 악성 EXE 파일 – 파일 번호 [2], [4]을 실행한다. Use-After-Free 취약점 CVE-2020-9715 을 이용한 것으로 보고 있다. 현재는 보안 업데이트로 패치 완료된 취약점으로서, 업데이트되지 않은 Adobe Acrobat 프로그램 사용자가 공격 피해를 입을 수 있다.
악성 PDF 문서 파일은 총 7개가 확인되었다. 취약점 테스트 용도(PoC)를 제외하고 실제로 공격에 이용되었을 것으로 보이는 파일은 4개 – 파일 번호 [1], [3], [11], [12]이다. 공통적으로 남북관계 관련 내용을 포함하고 있어서 이와 연관된 개인 또는 조직을 타깃으로 공격하였을 것으로 보인다. PDF 문서 파일을 이용한 공격은 기존 …
IoC
http://tktlal2.atwebpages.com
http://tktlal2.atwebpages.com/ccom2/post.php
http://tksRpdl.atwebpages.com/ccom2/download.php?filename=ccom2
http://dktkglrkshqhfn.atwebpages.com
http://tktlal2.atwebpages.com/ccom2/download.php?filename=ccom2
http://dktkglrkshqhfn.atwebpages.com/ccom2/download.php?filename=ccom2
http://dkekftks.atwebpages.com/ccom1/post.php
http://tktlal3.atwebpages.com/ccom3/post.php
http://tktlal3.atwebpages.com
http://tksRpdl.atwebpages.com
http://tktlal3.atwebpages.com/ccom3/download.php?filename=ccom3
http://rhwkdlaktm.atwebpages.com
http://dkekftks.atwebpages.com/ccom1/download.php?filename=ccom1
http://dkekftks.atwebpages.com
a0c7e9dc69e439cb431e6dea9f0d5930
a67b0c89812e9517178b8581ff830a38
70294ac8b61bfb936334bcb6e6e8cc50
6d6399e5e98164e365029a9b141e1646
df2ea74328ad43c4225cb6c8aa56f340
906b43cb893e0a57404c8f17085a1f24
be4daa6400a6e417270e17b67a44ca97
29b28e79d86e4395e223d44d60b14ff4
b31aaabc8b39f2854ace7680b34322fe
aa5a3f19e5f7d15b6af37a4f2c8215ee
c9c7d70174e8be8b2cebfeb125be2672
8b1606f4f2df5d95e00411b4057b3da1
ffe39eb91e0247fb13bd8fd8152f61a3
de2a8a728f81d44562bfd3e91c95f002
http://tktlal2.atwebpages.com/ccom2/post.php
http://tksRpdl.atwebpages.com/ccom2/download.php?filename=ccom2
http://dktkglrkshqhfn.atwebpages.com
http://tktlal2.atwebpages.com/ccom2/download.php?filename=ccom2
http://dktkglrkshqhfn.atwebpages.com/ccom2/download.php?filename=ccom2
http://dkekftks.atwebpages.com/ccom1/post.php
http://tktlal3.atwebpages.com/ccom3/post.php
http://tktlal3.atwebpages.com
http://tksRpdl.atwebpages.com
http://tktlal3.atwebpages.com/ccom3/download.php?filename=ccom3
http://rhwkdlaktm.atwebpages.com
http://dkekftks.atwebpages.com/ccom1/download.php?filename=ccom1
http://dkekftks.atwebpages.com
a0c7e9dc69e439cb431e6dea9f0d5930
a67b0c89812e9517178b8581ff830a38
70294ac8b61bfb936334bcb6e6e8cc50
6d6399e5e98164e365029a9b141e1646
df2ea74328ad43c4225cb6c8aa56f340
906b43cb893e0a57404c8f17085a1f24
be4daa6400a6e417270e17b67a44ca97
29b28e79d86e4395e223d44d60b14ff4
b31aaabc8b39f2854ace7680b34322fe
aa5a3f19e5f7d15b6af37a4f2c8215ee
c9c7d70174e8be8b2cebfeb125be2672
8b1606f4f2df5d95e00411b4057b3da1
ffe39eb91e0247fb13bd8fd8152f61a3
de2a8a728f81d44562bfd3e91c95f002