안보·외교·통일 관련 분야를 겨냥한 APT 공격, '작전명 블랙 리무진' 주의
Contents
안보·외교·통일 관련 분야를 겨냥한 APT 공격, '작전명 블랙 리무진' 주의
안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다.
특정 정부가 배후에 있는 것으로 알려져 있는 위협그룹 중에 안보·외교·통일 관련 분야의 정보를 노린 조직은 2014년 한국의 특정 전력회사에 대한 사이버 공격으로 널리 알려져 있습니다.
ESRC에서는 해당 위협그룹이 최근 다양한 APT 공격을 수행하고 있는 정황을 포착해, 지속적인 관찰을 수행하고 있습니다.
지난 2월 '오퍼레이션 김수키(Kimsuky)의 은밀한 활동, 한국 맞춤형 APT 공격은 현재 진행형'으로 공개된 내용과 5월 "판문점 선언 관련 내용의 문서로 수행된 '작전명 원제로(Operation Onezero)' APT 공격 분석" 내용으로 일부 공개된 바 있습니다.
그리고 이번 최신 APT공격을 "작전명 블랙 리무진(Operation Black Limousine)"으로 명명하고, "쓰렛 인사이드(Threat Inside)" 서비스를 통해 보다 다양한 침해지표(IoC) 등을 별도 제공할 예정입니다.
이 조직이 사용한 대표적인 공격벡터를 시계열로 분석해 보면 다음과 같습니다.
[그림 1] 문서파일 취약점을 이용한 APT 공격 시계열 흐름 화면
다양한 형태의 악성 문서파일이 지속적으로 발견이 되었고, 모두 동일한 쉘코드(Shellcode) 취약점을 사용하고 있는 특징이 존재합니다.
특히, 대부분의 문서 파일이 한국의 정치, 사회와 관련된 내용을 담고 있는 …
안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다.
특정 정부가 배후에 있는 것으로 알려져 있는 위협그룹 중에 안보·외교·통일 관련 분야의 정보를 노린 조직은 2014년 한국의 특정 전력회사에 대한 사이버 공격으로 널리 알려져 있습니다.
ESRC에서는 해당 위협그룹이 최근 다양한 APT 공격을 수행하고 있는 정황을 포착해, 지속적인 관찰을 수행하고 있습니다.
지난 2월 '오퍼레이션 김수키(Kimsuky)의 은밀한 활동, 한국 맞춤형 APT 공격은 현재 진행형'으로 공개된 내용과 5월 "판문점 선언 관련 내용의 문서로 수행된 '작전명 원제로(Operation Onezero)' APT 공격 분석" 내용으로 일부 공개된 바 있습니다.
그리고 이번 최신 APT공격을 "작전명 블랙 리무진(Operation Black Limousine)"으로 명명하고, "쓰렛 인사이드(Threat Inside)" 서비스를 통해 보다 다양한 침해지표(IoC) 등을 별도 제공할 예정입니다.
이 조직이 사용한 대표적인 공격벡터를 시계열로 분석해 보면 다음과 같습니다.
[그림 1] 문서파일 취약점을 이용한 APT 공격 시계열 흐름 화면
다양한 형태의 악성 문서파일이 지속적으로 발견이 되었고, 모두 동일한 쉘코드(Shellcode) 취약점을 사용하고 있는 특징이 존재합니다.
특히, 대부분의 문서 파일이 한국의 정치, 사회와 관련된 내용을 담고 있는 …