스테가노그래피 기법 사용한 한글(HWP) 악성코드 : RedEyes(ScarCruft)
Contents
ASEC(AhnLab Security Emergengy response Center) 분석팀은 지난 1월 RedEyes 공격 그룹(also known as APT37, ScarCruft)이 한글 EPS(Encapulated PostScript) 취약점(CVE-2017-8291)을 통해 악성코드를 유포하는 정황을 확인하였다. 본 보고서에서는 RedEyes 그룹의 최신 국내 활동에 대해 공유한다.
1. 개요
RedEyes 그룹은 기업이 아닌 특정 개인을 대상으로 개인 PC 정보 뿐만 아니라 휴대전화 데이터까지 탈취하는 것으로 알려져있다. 이번 RedEyes 그룹 공격 사례의 주요 특징은 한글 EPS 취약점을 사용한 것과 스테가노그래피 기법을 이용하여 악성코드를 유포했다는 점이다.
공격에 사용된 한글 EPS 취약점은 이미 최신 버전의 한글 워드 프로세서에서는 패치된 오래된 취약점이다. 공격자는 사전에 공격 대상(개인)이 EPS를 지원하는 오래된 버전의 한글 워드 프로세서를 사용하는 것을 파악한 상태에서 공격을 시도한 것으로 보인다. 그리고, RedEyes 그룹이 스테가노그래피 기법으로 악성코드를 유포한 사례는 과거에도 확인된 바 있다. 지난 2019년, Kaspersky는 ScarCruft(RedEyes) 그룹이 사용한 다운로더 악성코드가 스테가노그래피 기법을 이용하여 추가 악성코드를 다운로드 했다는 내용을 공개하였다.
이번 공격에 대해 RedEyes 그룹으로 분류한 근거는 악성코드 다운로드를 위해 스테가노그래피 기법을 사용했다는 점과 C&C 서버 통신 유지(지속성)를 위한 자동 실행 관련 …
1. 개요
RedEyes 그룹은 기업이 아닌 특정 개인을 대상으로 개인 PC 정보 뿐만 아니라 휴대전화 데이터까지 탈취하는 것으로 알려져있다. 이번 RedEyes 그룹 공격 사례의 주요 특징은 한글 EPS 취약점을 사용한 것과 스테가노그래피 기법을 이용하여 악성코드를 유포했다는 점이다.
공격에 사용된 한글 EPS 취약점은 이미 최신 버전의 한글 워드 프로세서에서는 패치된 오래된 취약점이다. 공격자는 사전에 공격 대상(개인)이 EPS를 지원하는 오래된 버전의 한글 워드 프로세서를 사용하는 것을 파악한 상태에서 공격을 시도한 것으로 보인다. 그리고, RedEyes 그룹이 스테가노그래피 기법으로 악성코드를 유포한 사례는 과거에도 확인된 바 있다. 지난 2019년, Kaspersky는 ScarCruft(RedEyes) 그룹이 사용한 다운로더 악성코드가 스테가노그래피 기법을 이용하여 추가 악성코드를 다운로드 했다는 내용을 공개하였다.
이번 공격에 대해 RedEyes 그룹으로 분류한 근거는 악성코드 다운로드를 위해 스테가노그래피 기법을 사용했다는 점과 C&C 서버 통신 유지(지속성)를 위한 자동 실행 관련 …