오퍼레이션 아라비안 나이트 공격그룹 글로벌 확대
Contents
오퍼레이션 아라비안 나이트 공격그룹 글로벌 활동 확대
안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
2017년 동안 한국의 특정 가상화폐 거래소를 대상으로 활동했던 이른바 정부 차원의 후원을 받는 것으로 추정되는 공격자(state-sponsored actor)가 2018년에는 글로벌을 상대로 공격을 시도하는 정황이 다수 포착되고 있습니다.
한국에서는 HWP 문서파일 취약점을 악용한 스피어피싱이 주로 활용된 반면, 해외는 DOC 문서 등의 매크로 기능을 활용하는 특징이 있고, 내부 코드를 숨기는데 나름의 노력을 기울이고 있다는 것이 특징입니다.
이들의 사이버 위협 활동은 지속적으로 진행되고 있는데, 얼마 전 알약 블로그를 통해 포스팅됐던 [3.20 공격 조직의 최신 오퍼레이션 '코인 매니저 (Coin Manager)'] 내용의 연장선이라 할 수도 있습니다.
▶ 문서파일 취약점을 활용한 파일리스(Fileless) 악성코드의 스텔스 위협
▶ 3.20 공격 조직의 최신 오퍼레이션 '코인 매니저 (Coin Manager)'
▶ 문서파일 취약점 공격과 한국 가상화폐 거래자 대상 공격간의 연관성 분석
▶ [주의] 가상화폐 거래 관계자를 대상으로 한 스피어피싱 지속
먼저 2018년 01월 24일 베트남에서 발견된 DOC 기반의 악성파일은 매크로 기능을 이용해 추가 악성파일을 설치하는 종류입니다.
해당 문서가 실행되면 아래와 같이 매크로 실행을 유도하는 영문 내용이 보여집니다.
[그림 1] 악성 문서 실행된 화면
만약 …
안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
2017년 동안 한국의 특정 가상화폐 거래소를 대상으로 활동했던 이른바 정부 차원의 후원을 받는 것으로 추정되는 공격자(state-sponsored actor)가 2018년에는 글로벌을 상대로 공격을 시도하는 정황이 다수 포착되고 있습니다.
한국에서는 HWP 문서파일 취약점을 악용한 스피어피싱이 주로 활용된 반면, 해외는 DOC 문서 등의 매크로 기능을 활용하는 특징이 있고, 내부 코드를 숨기는데 나름의 노력을 기울이고 있다는 것이 특징입니다.
이들의 사이버 위협 활동은 지속적으로 진행되고 있는데, 얼마 전 알약 블로그를 통해 포스팅됐던 [3.20 공격 조직의 최신 오퍼레이션 '코인 매니저 (Coin Manager)'] 내용의 연장선이라 할 수도 있습니다.
▶ 문서파일 취약점을 활용한 파일리스(Fileless) 악성코드의 스텔스 위협
▶ 3.20 공격 조직의 최신 오퍼레이션 '코인 매니저 (Coin Manager)'
▶ 문서파일 취약점 공격과 한국 가상화폐 거래자 대상 공격간의 연관성 분석
▶ [주의] 가상화폐 거래 관계자를 대상으로 한 스피어피싱 지속
먼저 2018년 01월 24일 베트남에서 발견된 DOC 기반의 악성파일은 매크로 기능을 이용해 추가 악성파일을 설치하는 종류입니다.
해당 문서가 실행되면 아래와 같이 매크로 실행을 유도하는 영문 내용이 보여집니다.
[그림 1] 악성 문서 실행된 화면
만약 …
IoC
210.122.7.129