오퍼레이션 배틀크루저' 다양한 취약점으로 국내외 APT 공격 지속
Contents
'오퍼레이션 배틀 크루저' 다양한 취약점으로 국내외 APT 공격 지속
안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
이스트시큐리티 대응센터에서는 오퍼레이션 아라비안나이트를 수행했던 라자루스(Lazarus) 조직이 국내외에서 다양한 작전을 수행하고 있는 것을 확인했습니다.
▶ 오퍼레이션 아라비안 나이트 공격그룹 글로벌 활동 확대
▶ 오퍼레이션 김수키(Kimsuky)의 은밀한 활동, 한국 맞춤형 APT 공격은 현재 진행형
▶ 한국 메신저 등을 통해 유포된 Flash Player Zero-Day (CVE-2018-4878) 공격 주의
▶ 문서파일 취약점을 활용한 파일리스(Fileless) 악성코드의 스텔스 위협
▶ 3.20 공격 조직의 최신 오퍼레이션 '코인 매니저 (Coin Manager)'
▶ 문서파일 취약점 공격과 한국 가상화폐 거래자 대상 공격간의 연관성 분석
▶ [주의] 가상화폐 거래 관계자를 대상으로 한 스피어피싱 지속
이번 '오퍼레이션은 배틀 크루저(Operation Battle Cruiser)'로 명명하고 지속적인 추적과 연관성 분석을 진행하고 있습니다.
정부 차원의 후원을 받는 것으로 추정되는 공격(state-sponsored actor)그룹은 HWP 문서 파일 취약점을 활용해 한국의 특정 분야 이용자에게 스피어피싱(Spear Phishing) 공격을 수행했습니다.
이 악성 문서 파일은 2018년 03월 26일 제작되었으며, 취약점 발생시 다운로드되는 바이너리 파일도 HWP 악성문서와 동일하게 2018년 03월 26일 제작되었습니다.
[그림 1] HWP 문서 파일의 구조 및 생성 날짜
문서파일의 구조를 살펴보면 'BinData/BIN0001.PS' 스트림에 8,176 …
안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
이스트시큐리티 대응센터에서는 오퍼레이션 아라비안나이트를 수행했던 라자루스(Lazarus) 조직이 국내외에서 다양한 작전을 수행하고 있는 것을 확인했습니다.
▶ 오퍼레이션 아라비안 나이트 공격그룹 글로벌 활동 확대
▶ 오퍼레이션 김수키(Kimsuky)의 은밀한 활동, 한국 맞춤형 APT 공격은 현재 진행형
▶ 한국 메신저 등을 통해 유포된 Flash Player Zero-Day (CVE-2018-4878) 공격 주의
▶ 문서파일 취약점을 활용한 파일리스(Fileless) 악성코드의 스텔스 위협
▶ 3.20 공격 조직의 최신 오퍼레이션 '코인 매니저 (Coin Manager)'
▶ 문서파일 취약점 공격과 한국 가상화폐 거래자 대상 공격간의 연관성 분석
▶ [주의] 가상화폐 거래 관계자를 대상으로 한 스피어피싱 지속
이번 '오퍼레이션은 배틀 크루저(Operation Battle Cruiser)'로 명명하고 지속적인 추적과 연관성 분석을 진행하고 있습니다.
정부 차원의 후원을 받는 것으로 추정되는 공격(state-sponsored actor)그룹은 HWP 문서 파일 취약점을 활용해 한국의 특정 분야 이용자에게 스피어피싱(Spear Phishing) 공격을 수행했습니다.
이 악성 문서 파일은 2018년 03월 26일 제작되었으며, 취약점 발생시 다운로드되는 바이너리 파일도 HWP 악성문서와 동일하게 2018년 03월 26일 제작되었습니다.
[그림 1] HWP 문서 파일의 구조 및 생성 날짜
문서파일의 구조를 살펴보면 'BinData/BIN0001.PS' 스트림에 8,176 …
IoC
211.233.13.62
221.138.17.152
221.138.17.152