최신 APT 캠페인, 작전명 유령 꼭두각시(Operation Ghost Puppet)
Contents
라자루스(Lazarus) APT, 유령 꼭두각시(Operation Ghost Puppet)
1. 최신 APT 캠페인, 작전명 유령 꼭두각시(Operation Ghost Puppet)
안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
2018년 8월경, 악성 한글 문서 파일 ‘유사수신행위 위반통보.hwp’가 발견되었습니다. 해당 문서 파일은 특정인의 유사 수신 행위에 대한 고발 내용을 담고 있지만 파일 내부에 ‘GhostScript’ 취약점 코드를 포함하고 있습니다. 이용자가 무심결에 실행할 경우, 취약점으로부터 원격 제어 기능을 수행하는 악성코드(페이로드)에 감염됩니다.
공격 과정에서 주목할 점은 공격자는 악성코드 감염을 위해 한글 문서 파일을 사용하였다는 것입니다. 공격자가 한글 문서를 사용한 이유는 ‘한글’ 워드프로세서 제품은 MS Office 제품군(Excel, Word 등)과 달리 한글이라는 전용 언어를 사용하는 국산 워드프로세서로써, 사용처가 주로 국가 기관이기에 공격 대상이 명확하기 때문으로 보여집니다.
본 보고서에서는 ‘GhostScript 엔진의 취약점’과 ‘페이로드의 원격제어 기능’과 같은 공격 특징을 토대로 Operation(작전) 이름을 ‘Ghost Puppet(유령 꼭두각시)’로 명명하려고 합니다.
먼저 ‘Ghost Puppet(유령 꼭두각시)’에서 사용된 ‘유사수신행위 위반통보.hwp’ 악성 한글 문서 사례에 대한 상세 분석을 진행하고자 합니다.
2. 악성 한글 문서 파일 사례 분석('유사수신행위 위반통보.hwp')
‘유사수신행위 위반통보.hwp’는 취약점이 포함된 포스트스크립트를 실행하여 악성코드를 다운로드 하는 기능을 수행합니다.
다음은 악성 한글 문서 파일에 ‘포스트스크립트’가 …
1. 최신 APT 캠페인, 작전명 유령 꼭두각시(Operation Ghost Puppet)
안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
2018년 8월경, 악성 한글 문서 파일 ‘유사수신행위 위반통보.hwp’가 발견되었습니다. 해당 문서 파일은 특정인의 유사 수신 행위에 대한 고발 내용을 담고 있지만 파일 내부에 ‘GhostScript’ 취약점 코드를 포함하고 있습니다. 이용자가 무심결에 실행할 경우, 취약점으로부터 원격 제어 기능을 수행하는 악성코드(페이로드)에 감염됩니다.
공격 과정에서 주목할 점은 공격자는 악성코드 감염을 위해 한글 문서 파일을 사용하였다는 것입니다. 공격자가 한글 문서를 사용한 이유는 ‘한글’ 워드프로세서 제품은 MS Office 제품군(Excel, Word 등)과 달리 한글이라는 전용 언어를 사용하는 국산 워드프로세서로써, 사용처가 주로 국가 기관이기에 공격 대상이 명확하기 때문으로 보여집니다.
본 보고서에서는 ‘GhostScript 엔진의 취약점’과 ‘페이로드의 원격제어 기능’과 같은 공격 특징을 토대로 Operation(작전) 이름을 ‘Ghost Puppet(유령 꼭두각시)’로 명명하려고 합니다.
먼저 ‘Ghost Puppet(유령 꼭두각시)’에서 사용된 ‘유사수신행위 위반통보.hwp’ 악성 한글 문서 사례에 대한 상세 분석을 진행하고자 합니다.
2. 악성 한글 문서 파일 사례 분석('유사수신행위 위반통보.hwp')
‘유사수신행위 위반통보.hwp’는 취약점이 포함된 포스트스크립트를 실행하여 악성코드를 다운로드 하는 기능을 수행합니다.
다음은 악성 한글 문서 파일에 ‘포스트스크립트’가 …
IoC
104.195.1.39
104.221.134.28
104.31.74.89
1F1D3EB92305EDC2098CEB4931243A59
4EA3B485752D60E75F7F72D372FE12E4
5C35360D28082E6E32D3E8EE347843FB
7706D38718707A73DCE032F79EEA43EF
78E8C150481107D7A5ED99E7E420FD24
A7328FB36AF985BCAE0ED4EC7FA75659
A7C804B62AE93D708478949F498342F9
B95180B9AF1C59CAEF465A84C304BAD8
C9582680978FDE80593F2BC164F9AC6F
E904BF93403C0FB08B9683A9E858C73E
FA6EE9E969DF5CA4524DAA77C172A1A7
http://www.nuokejs.com/contactus/about.php
http://www.pakteb.com/include/left.php
http://www.qdbazaar.com/include/footer.php
https://tpddata.com/flash/gcoin2.swf
https://tpddata.com/flash/gcoin4.swf
104.221.134.28
104.31.74.89
1F1D3EB92305EDC2098CEB4931243A59
4EA3B485752D60E75F7F72D372FE12E4
5C35360D28082E6E32D3E8EE347843FB
7706D38718707A73DCE032F79EEA43EF
78E8C150481107D7A5ED99E7E420FD24
A7328FB36AF985BCAE0ED4EC7FA75659
A7C804B62AE93D708478949F498342F9
B95180B9AF1C59CAEF465A84C304BAD8
C9582680978FDE80593F2BC164F9AC6F
E904BF93403C0FB08B9683A9E858C73E
FA6EE9E969DF5CA4524DAA77C172A1A7
http://www.nuokejs.com/contactus/about.php
http://www.pakteb.com/include/left.php
http://www.qdbazaar.com/include/footer.php
https://tpddata.com/flash/gcoin2.swf
https://tpddata.com/flash/gcoin4.swf