lazarusholic

2019-07-02, ESTSecurity
https://blog.alyac.co.kr/2397
#Lazarus

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
한국을 공격 대상으로 활동하는 대표적인 APT 그룹인, 라자루스(Lazarus), 김수키(Kimsuky), 금성121(Geumseong121) 조직의 움직임이 최근 연속적으로 발생하고 있습니다.
금일, '금성121' 조직이 정치·통일·안보 관련 분야를 겨냥한 공격이 포착된 것에 이어 '라자루스' 그룹으로 분류된 APT 캠페인도 식별되었습니다.
'라자루스' 시리즈로 수행된 공격은 얼마전 있었던 【라자루스(Lazarus) APT 조직, 텔레그램 메신저로 '진실겜.xls' 악성 파일 공격】 사례와 마찬가지로 암호화폐 거래 관계자를 노렸습니다.
이번 공격은 2019년 06월 27일 오전 10시경부터 여러 사람들에게 유포되었고, 일부는 과거 특정 암호화폐 거래소 회원정보 해킹으로 유출된 사람에게도 전송되었습니다.
[그림 1] 실제 공격에 사용된 이메일 화면
이메일 제목에는 '쉐어하우스 임대사업' 문구를 담고 있으며, 본문과 첨부파일은 마치 대학생이 보낸 프로젝트 결과 보고서처럼 위장하고 있습니다.
Filel Name |
MD5 |
20190626_현장프로젝트1 결과발표(4조).hwp |
35c6cf8858c2516b151dce81b7473bff |
첨부파일 '20190626_현장프로젝트1 결과발표(4조).hwp' 문서가 실행되면 취약점 코드가 작동하고 다음과 같은 정상적인 문서 화면을 출력합니다.
실제 문서 내용을 담고 있으며, 취약점이 존재할 경우 이용자 몰래 백그라운드로 악성코드가 작동되기 때문에 피해자는 바로 악성여부를 파악하기 어렵습니다.
[그림 2] 악성 문서 실행 화면
이 악성문서 파일은 2019년 06월 26일 제작되었으며, 실제 공격은 27일에 수행된 것을 알 …

106f24660aa878c6aaa5f30422d1916b
35c6cf8858c2516b151dce81b7473bff
BB157732CB52B6D30C624DFB111D0264
https://darvishkhan.net/wp-content/uploads/2017/06/update3.dat
https://darvishkhan.net/wp-content/uploads/2017/06/update6.dat
https://www.calderonflooring.com/wp-content/uploads/2018/webfont1.dat
https://www.calderonflooring.com/wp-content/uploads/2018/webfont2.dat