새해 오피니언 언론 칼럼 위장 해킹 분석
Contents
◈ 주요 요약 (Executive Summary)
● 새해 첫날 공개된 언론사 오피니언 칼럼 내용으로 현혹해 접근
● 암호화된 ZIP 압축 파일에 워드패드 아이콘을 가진 악성 파일 포함
● 구글 드라이브 통해 리치 텍스트 포맷(RTF) 문서처럼 위장 공격
● 조작된 헤더의 GNU Gzip 파일을 통해 보안탐지 회피 전략 구사
● Genian EDR 위협 대응 솔루션의 XBA 탐지기술로 효과적 대응 가능
1. 개요 (Overview)
○ 지니언스 시큐리티 센터(이하 GSC)는 2024년 1월 3일(수) 수행된 새로운 위협 징후를 포착했습니다. 연초부터 한국을 겨냥한 국지적 스피어 피싱(Spear Phishing) 공격이 발생 중입니다. 본 위협 케이스는 새해 첫날 일부 언론사에 공개된 실제 오피니언 칼럼 내용을 이메일로 전달하는 형태로 진행됐습니다. 해당 내용에는 새해 인사와 함께 ZIP 압축 파일이 하나 첨부돼 있습니다.
○ 이 시기는 연휴가 막 끝난 시점으로 여러 기업들이 본격적으로 신년 업무에 돌입하던 때 입니다. GSC가 식별한 본 공격은 평일 주간 시간대에 진행됐고, 평소 알고지낸 지인 행세로 인사하듯 접근을 시도합니다. 사실 신년 초에는 새해맞이 안부 인사를 나누는 것이 매우 자연스러운 일입니다.
[그림 1] 스피어 피싱 공격 흐름도
2. 공격 …
● 새해 첫날 공개된 언론사 오피니언 칼럼 내용으로 현혹해 접근
● 암호화된 ZIP 압축 파일에 워드패드 아이콘을 가진 악성 파일 포함
● 구글 드라이브 통해 리치 텍스트 포맷(RTF) 문서처럼 위장 공격
● 조작된 헤더의 GNU Gzip 파일을 통해 보안탐지 회피 전략 구사
● Genian EDR 위협 대응 솔루션의 XBA 탐지기술로 효과적 대응 가능
1. 개요 (Overview)
○ 지니언스 시큐리티 센터(이하 GSC)는 2024년 1월 3일(수) 수행된 새로운 위협 징후를 포착했습니다. 연초부터 한국을 겨냥한 국지적 스피어 피싱(Spear Phishing) 공격이 발생 중입니다. 본 위협 케이스는 새해 첫날 일부 언론사에 공개된 실제 오피니언 칼럼 내용을 이메일로 전달하는 형태로 진행됐습니다. 해당 내용에는 새해 인사와 함께 ZIP 압축 파일이 하나 첨부돼 있습니다.
○ 이 시기는 연휴가 막 끝난 시점으로 여러 기업들이 본격적으로 신년 업무에 돌입하던 때 입니다. GSC가 식별한 본 공격은 평일 주간 시간대에 진행됐고, 평소 알고지낸 지인 행세로 인사하듯 접근을 시도합니다. 사실 신년 초에는 새해맞이 안부 인사를 나누는 것이 매우 자연스러운 일입니다.
[그림 1] 스피어 피싱 공격 흐름도
2. 공격 …
IoC
14F97F5F286B1BE0CA7213218B478466
159.100.29.38
1E25FED1DAB0E2E4651FC51DB806A8B9
27.255.75.153
27.255.75.158
27.255.81.111
27.255.81.113
27.255.81.73
27.255.81.77
2A40543F5B4B8CC1F4BD8993DF44708E
61.97.251.248
92A18B9AC4945B444466B9950CB83E10
9732AF12223214E121B0E693B2AB4E2C
9E8BB11A8159EA5135DEF3895E7A5817
ADE57773E415DB6265815DF636AA83E9
BD07301E0B028887D61337F62FF24062
D94C3DFFCFFCF8591A8630A893DEFF5F
EC146031EDFE94B2965D32B384A4B54F
F32653EC5E26AD7DA610DFC194FB66BA
http://159.100.29.38
http://27.255.75.153
http://27.255.75.158
http://27.255.81.111
http://27.255.81.113
http://27.255.81.73
http://27.255.81.77
http://61.97.251.248
http://akites.site
http://civilarys.store
http://cloudown.store
http://countrysvc.p-e.kr
http://gmail.com
http://kakaoaccouts.store
http://kakaoteam.site
http://mofamail.homes
http://mofamail.shop
http://navecorps.com
http://naveralarm.com
http://naveralert.com
http://navercafe.info
http://navers.cc
http://naverscorp.shop
http://ned.새알림.서버.
http://nidnaver.help
http://nidnaver.info
http://nmail.네이버메일.온라인.
http://nsvc.우편물.서버.
http://taxservice.p-e.kr
http://upbit-service.p-e.kr
http://upbit2024.r-e.kr
https://drive.google.com/uc?export=download&id=1X
https://drive.google.com/uc?export=download&id=1Y
https://drive.google.com/uc?export=download&id=1j
[email protected]
159.100.29.38
1E25FED1DAB0E2E4651FC51DB806A8B9
27.255.75.153
27.255.75.158
27.255.81.111
27.255.81.113
27.255.81.73
27.255.81.77
2A40543F5B4B8CC1F4BD8993DF44708E
61.97.251.248
92A18B9AC4945B444466B9950CB83E10
9732AF12223214E121B0E693B2AB4E2C
9E8BB11A8159EA5135DEF3895E7A5817
ADE57773E415DB6265815DF636AA83E9
BD07301E0B028887D61337F62FF24062
D94C3DFFCFFCF8591A8630A893DEFF5F
EC146031EDFE94B2965D32B384A4B54F
F32653EC5E26AD7DA610DFC194FB66BA
http://159.100.29.38
http://27.255.75.153
http://27.255.75.158
http://27.255.81.111
http://27.255.81.113
http://27.255.81.73
http://27.255.81.77
http://61.97.251.248
http://akites.site
http://civilarys.store
http://cloudown.store
http://countrysvc.p-e.kr
http://gmail.com
http://kakaoaccouts.store
http://kakaoteam.site
http://mofamail.homes
http://mofamail.shop
http://navecorps.com
http://naveralarm.com
http://naveralert.com
http://navercafe.info
http://navers.cc
http://naverscorp.shop
http://ned.새알림.서버.
http://nidnaver.help
http://nidnaver.info
http://nmail.네이버메일.온라인.
http://nsvc.우편물.서버.
http://taxservice.p-e.kr
http://upbit-service.p-e.kr
http://upbit2024.r-e.kr
https://drive.google.com/uc?export=download&id=1X
https://drive.google.com/uc?export=download&id=1Y
https://drive.google.com/uc?export=download&id=1j
[email protected]