윈도우즈 업데이트 서비스 악용, 북한 Lazarus 그룹의 신규 공격
2022-04-01,
Somansa
https://www.somansa.com/wp-content/uploads/2022/05/%EC%86%8C%EB%A7%8C%EC%82%AC-%EB%B0%A9%EC%82%B0%EC%97%85%EC%B2%B4-%EC%9E%85%EC%82%AC%EC%A0%9C%EC%95%88%EC%84%9C%EB%A1%9C-%EC%9C%84%EC%9E%A5%ED%95%98%EC%97%AC-%EA%B3%84%EC%A0%95%EC%A0%95%EB%B3%B4-%ED%83%88%EC%B7%A8-%EB%B6%81%ED%95%9C-%EB%9D%BC%EC%9E%90%EB%A3%A8%EC%8A%A4-%EA%B7%B8%EB%A3%B9%EC%9D%98-%EC%9C%88%EB%8F%84%EC%9A%B0%EC%A6%88-%EC%97%85%EB%8D%B0%EC%9D%B4%ED%8A%B8-%EC%95%85%EC%9A%A9%EA%B3%B5%EA%B2%A9_2022.04.pdf
EC868CEBA78CEC82AC-EBB0A9EC82B0EC9785ECB2B4-EC9E85EC82ACECA09CEC95_VnVW61K.pdf, 1.2 MB
https://www.somansa.com/wp-content/uploads/2022/05/%EC%86%8C%EB%A7%8C%EC%82%AC-%EB%B0%A9%EC%82%B0%EC%97%85%EC%B2%B4-%EC%9E%85%EC%82%AC%EC%A0%9C%EC%95%88%EC%84%9C%EB%A1%9C-%EC%9C%84%EC%9E%A5%ED%95%98%EC%97%AC-%EA%B3%84%EC%A0%95%EC%A0%95%EB%B3%B4-%ED%83%88%EC%B7%A8-%EB%B6%81%ED%95%9C-%EB%9D%BC%EC%9E%90%EB%A3%A8%EC%8A%A4-%EA%B7%B8%EB%A3%B9%EC%9D%98-%EC%9C%88%EB%8F%84%EC%9A%B0%EC%A6%88-%EC%97%85%EB%8D%B0%EC%9D%B4%ED%8A%B8-%EC%95%85%EC%9A%A9%EA%B3%B5%EA%B2%A9_2022.04.pdf
EC868CEBA78CEC82AC-EBB0A9EC82B0EC9785ECB2B4-EC9E85EC82ACECA09CEC95_VnVW61K.pdf, 1.2 MB
Contents
북한 Lazarus 그룹
2022.04
윈도우즈 업데이트 서비스 악용,
북한 Lazarus 그룹의 신규 공격
방산업체 입사제안,
소속기관 재택근무 보안지침 안내서 위장하여
PC내 계정정보, 공인인증서 탈취
목차
1. 개요
1.1 배경
1.2 최근 공격 동향
1.3 최근 공격 시나리오
2. 파일정보
2.1 파일정보
3. 공격정보
3.1 공격흐름
4. 분석
5. Privacy-i EDR의 취약점 공격 방지
6. 대응
1
2022.04 북한 Lazarus 그룹
1. 개요
1.1 배경
과거부터 북한의 해커들은 사회 주요이슈 및 특정인 사칭을 통해 악성코드를 유포했다.
이들은 국내외 특정 기업과 기관을 위장으로 위장해 악성코드를 배포했다.
해당 공격은 국내 주요기관/기업의 임직원 뿐만 아니라
개인 PC를 사용하는 일반 사용자까지 무차별적으로 감염시켰다.
악성코드는 정상적인 악성 파일로 위장하였으며
공격 대상이 악성 파일을 실행하면 악성코드에 감염되도록 구성됐다.
공격자는 PC를 악성코드에 감염시키고
그 후 금융 및 민감 정보, 개인 인증서, 접속 기록 등 PC 내 모든 주요정보를 한 순간에 탈취한다.
이러한 공격을 수행하는 악성코드 그룹은 아래와 같다.
코드명
종류
유포 방식
라자루스
(Lazarus)
김수키
(Kimsuky)
스카크러프트
(Scarcruft)
InfoStealer / RAT
Phishing Mail
(Attachments)
안다리엘
(Andariel)
[표 1] 주요 북한 해킹 그룹 및 탈취 정보
2
주요 행위
금융 정보 탈취
개인/공인 인증서 탈취
접속 기록 탈취
키보드 입력 탈취
계정 정보 탈취
랜섬웨어 유포 등
2022.04 북한 Lazarus 그룹
[그림 1] 특정 인물을 위장한 북한의 과거 피싱 메일
라자루스, 김수키, 스카크러프트 등으로 …
2022.04
윈도우즈 업데이트 서비스 악용,
북한 Lazarus 그룹의 신규 공격
방산업체 입사제안,
소속기관 재택근무 보안지침 안내서 위장하여
PC내 계정정보, 공인인증서 탈취
목차
1. 개요
1.1 배경
1.2 최근 공격 동향
1.3 최근 공격 시나리오
2. 파일정보
2.1 파일정보
3. 공격정보
3.1 공격흐름
4. 분석
5. Privacy-i EDR의 취약점 공격 방지
6. 대응
1
2022.04 북한 Lazarus 그룹
1. 개요
1.1 배경
과거부터 북한의 해커들은 사회 주요이슈 및 특정인 사칭을 통해 악성코드를 유포했다.
이들은 국내외 특정 기업과 기관을 위장으로 위장해 악성코드를 배포했다.
해당 공격은 국내 주요기관/기업의 임직원 뿐만 아니라
개인 PC를 사용하는 일반 사용자까지 무차별적으로 감염시켰다.
악성코드는 정상적인 악성 파일로 위장하였으며
공격 대상이 악성 파일을 실행하면 악성코드에 감염되도록 구성됐다.
공격자는 PC를 악성코드에 감염시키고
그 후 금융 및 민감 정보, 개인 인증서, 접속 기록 등 PC 내 모든 주요정보를 한 순간에 탈취한다.
이러한 공격을 수행하는 악성코드 그룹은 아래와 같다.
코드명
종류
유포 방식
라자루스
(Lazarus)
김수키
(Kimsuky)
스카크러프트
(Scarcruft)
InfoStealer / RAT
Phishing Mail
(Attachments)
안다리엘
(Andariel)
[표 1] 주요 북한 해킹 그룹 및 탈취 정보
2
주요 행위
금융 정보 탈취
개인/공인 인증서 탈취
접속 기록 탈취
키보드 입력 탈취
계정 정보 탈취
랜섬웨어 유포 등
2022.04 북한 Lazarus 그룹
[그림 1] 특정 인물을 위장한 북한의 과거 피싱 메일
라자루스, 김수키, 스카크러프트 등으로 …
IoC
0d01b24f7666f9bccf0f16ea97e41e0bc26f4c49cdfb7a4dabcc0a494b44ec9b
829eceee720b0a3e505efbd3262c387b92abdf46183d51a50489e2b157dac3b1
f14b1a91ed1ecd365088ba6de5846788f86689c6c2f2182855d5e0954d62af3b
829eceee720b0a3e505efbd3262c387b92abdf46183d51a50489e2b157dac3b1
f14b1a91ed1ecd365088ba6de5846788f86689c6c2f2182855d5e0954d62af3b