일요일 수행된 APT 변종 공격, 오퍼레이션 페이크 캡슐(Operation Fake Capsule) 주의
Contents
안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다.
2019년 01월 07일 월요일 새벽 1시 경 통일부 등을 출입하는 언론사 기자(단)들의 이메일 대상으로 대규모 스피어 피싱(Spear Phishing) 공격이 수행된 바 있고, ESRC에서는 '작전명 코브라 베놈(Operation Cobra Venom)'으로 위협정보를 공개한 바 있습니다.
이런 가운데 2019년 01월 20일 일요일에 새로운 변종이 발견되었습니다. 해당 변종은 한국시간(KST)으로 01월 21일 새벽 6시 경에 코드가 제작된 것으로 설정되어 있었습니다. 또한, 마치 이스트시큐리티의 알약(ALYac) 보안 모듈처럼 위장하는 공격벡터를 도입했습니다.
이에 ESRC는 가짜로 조작된 날짜와 알약 보안 모듈 위장 등의 특징 부분을 활용해 이번 최신 정부기반 APT(지능형지속위협) 공격 캠페인을 '작전명 페이크 캡슐(Operation Fake Capsule)'로 명명하였습니다.
악성코드의 제작날짜가 다음 날인 21일 월요일인 것으로 보아, 제작자는 날짜를 의도적으로 조작했으며, 코브라 베놈 작전 때와 동일하게 HWP 문서처럼 아이콘을 위장한 2중 확장자 EXE 기법이 활용되었습니다.
다만, 공격에 사용된 파일명의 확장자는 EXE가 아닌 SCR이 사용되었으며, 기존처럼 중간에 다수의 빈공백을 포함해 폴더옵션에 따라 확장자가 보이지 않게 만들었습니다.
[그림 1] 중국 연구자료 HWP문서처럼 위장한 EXE(SCR) 파일
악성파일은 'BINARY' 리소스 내부에 3개의 개별 …
2019년 01월 07일 월요일 새벽 1시 경 통일부 등을 출입하는 언론사 기자(단)들의 이메일 대상으로 대규모 스피어 피싱(Spear Phishing) 공격이 수행된 바 있고, ESRC에서는 '작전명 코브라 베놈(Operation Cobra Venom)'으로 위협정보를 공개한 바 있습니다.
이런 가운데 2019년 01월 20일 일요일에 새로운 변종이 발견되었습니다. 해당 변종은 한국시간(KST)으로 01월 21일 새벽 6시 경에 코드가 제작된 것으로 설정되어 있었습니다. 또한, 마치 이스트시큐리티의 알약(ALYac) 보안 모듈처럼 위장하는 공격벡터를 도입했습니다.
이에 ESRC는 가짜로 조작된 날짜와 알약 보안 모듈 위장 등의 특징 부분을 활용해 이번 최신 정부기반 APT(지능형지속위협) 공격 캠페인을 '작전명 페이크 캡슐(Operation Fake Capsule)'로 명명하였습니다.
악성코드의 제작날짜가 다음 날인 21일 월요일인 것으로 보아, 제작자는 날짜를 의도적으로 조작했으며, 코브라 베놈 작전 때와 동일하게 HWP 문서처럼 아이콘을 위장한 2중 확장자 EXE 기법이 활용되었습니다.
다만, 공격에 사용된 파일명의 확장자는 EXE가 아닌 SCR이 사용되었으며, 기존처럼 중간에 다수의 빈공백을 포함해 폴더옵션에 따라 확장자가 보이지 않게 만들었습니다.
[그림 1] 중국 연구자료 HWP문서처럼 위장한 EXE(SCR) 파일
악성파일은 'BINARY' 리소스 내부에 3개의 개별 …