탈륨 조직, 2021년 외교부 재외공관 복무 관련 실태 조사 위장 공격
Contents
안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
최근 외교부에서 발행한 것처럼 위장한 악성 파일이 발견되어 관련자들의 각별한 주의가 필요합니다.
해당 공격을 수행한 배후 세력으로는 북한 정부 지원 해커 조직인 ‘탈륨 (Thallium)’이 지목되었으며, 내부 문자열 암호화 방식이 기존 탈륨(Thallium) APT 조직의 ‘블루 에스티메이트 (Blue Estimate)’ 캠페인과 정확히 일치합니다. 이번 공격은 지난 4월에 발견된 ‘2021년 외교부 재외공관 복무 관련 실태 조사’ 관련 해킹 시도의 연장선에 있는 것으로 의심됩니다.
새로 발견된 악성 파일은 2021년 5월 7일 날짜로 발행된 외교부 대변인실 표지의 가판 뉴스가 담긴 정상 PDF 파일 내용을 사용함으로써 수신자의 의심을 최소화했습니다. 악성 파일 안에는 Base64로 인코딩된 데이터와 스크립트가 들어있고, C:\ProgramData\ 경로에 ‘외교부 가판 2021-05-07.pdf’, ‘glK7UwV.pR9a’, ‘efVo8cq.sIhn’ 파일이 설치됩니다. 생성된 ‘glK7UwV.pR9’a파일은 C:\ProgramData\Software\ESTsoft\Common\ 경로에 마치 이스트소프트 업데이트 파일처럼 위장한 64비트 악성 DLL 파일을 추가하고 호출합니다.
jse 파일 안에는 base64로 된 데이터와 스크립트가 들어있고, C:\ProgramData\ 아래 외교부 가판 2021-05-07.pdf, glK7UwV.pR9a, efVo8cq.sIhn 파일이 드롭됩니다.
생성된 ‘glK7UwV.pR9’a파일은 C:\ProgramData\Software\ESTsoft\Common\ 경로에 마치 이스트소프트 업데이트 파일처럼 위장한 64비트 악성 DLL 파일을 추가하고 호출합니다.
해당 DLL 파일은 감염 시스템 정보 전송 …
최근 외교부에서 발행한 것처럼 위장한 악성 파일이 발견되어 관련자들의 각별한 주의가 필요합니다.
해당 공격을 수행한 배후 세력으로는 북한 정부 지원 해커 조직인 ‘탈륨 (Thallium)’이 지목되었으며, 내부 문자열 암호화 방식이 기존 탈륨(Thallium) APT 조직의 ‘블루 에스티메이트 (Blue Estimate)’ 캠페인과 정확히 일치합니다. 이번 공격은 지난 4월에 발견된 ‘2021년 외교부 재외공관 복무 관련 실태 조사’ 관련 해킹 시도의 연장선에 있는 것으로 의심됩니다.
새로 발견된 악성 파일은 2021년 5월 7일 날짜로 발행된 외교부 대변인실 표지의 가판 뉴스가 담긴 정상 PDF 파일 내용을 사용함으로써 수신자의 의심을 최소화했습니다. 악성 파일 안에는 Base64로 인코딩된 데이터와 스크립트가 들어있고, C:\ProgramData\ 경로에 ‘외교부 가판 2021-05-07.pdf’, ‘glK7UwV.pR9a’, ‘efVo8cq.sIhn’ 파일이 설치됩니다. 생성된 ‘glK7UwV.pR9’a파일은 C:\ProgramData\Software\ESTsoft\Common\ 경로에 마치 이스트소프트 업데이트 파일처럼 위장한 64비트 악성 DLL 파일을 추가하고 호출합니다.
jse 파일 안에는 base64로 된 데이터와 스크립트가 들어있고, C:\ProgramData\ 아래 외교부 가판 2021-05-07.pdf, glK7UwV.pR9a, efVo8cq.sIhn 파일이 드롭됩니다.
생성된 ‘glK7UwV.pR9’a파일은 C:\ProgramData\Software\ESTsoft\Common\ 경로에 마치 이스트소프트 업데이트 파일처럼 위장한 64비트 악성 DLL 파일을 추가하고 호출합니다.
해당 DLL 파일은 감염 시스템 정보 전송 …
IoC
http://texts.letterpaper.press