2018년 11월 Lazarus 그룹 한국과 미국 서버를 이용해 APT 공격 수행 중
Contents
2018년 11월 Lazarus 그룹 한국과 미국 서버를 이용해 APT 공격 수행 중
안녕하세요. 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다.
특정 정부가 배후에 있는것으로 알려져 있는 국가기반 해킹그룹 일명 '라자루스(Lazarus)'는 지난 03월 해외의 암호화폐 거래소 및 핀테크 관련 회사를 공격시도했던 것으로 알려져 있습니다.
물론, 해외뿐만 아니라, 최근 한국의 특정 대상을 상대로 은밀한 스피어피싱(Spear Phishing) 공격이 포착된 바 있고, 알약 블로그에서는 '라자루스 최신 APT 작전 '배틀 크루저(Operation Battle Cruiser) 재등장' 내용으로 공개한 바 있습니다.
지난 03월 해외에서 보고되었던 악성파일은 당시 MS Word 문서포맷에 악성 매크로(Macro)코드를 삽입한 형태이며, 미끼(Decoy)파일 내용으로는 마치 암호화폐 거래 및 핀테크 관련 내용의 투자 제안서로 위장하고 있었습니다.
[그림 1] 투자 제안서로 위장한 악성 DOC 문서 실행 화면
그런 가운데 ESRC에서는 2018년 11월 유사한 최신 APT 공격사례를 추가로 포착해 위협 인텔리전스 기반의 추적조사를 계속 진행하고 있습니다.
공격자는 2018년 10월 말경 악성 DOC 문서를 제작했는데, 주로 해외를 공격하고 있는 것으로 추정되며, 2개 이상의 공격 정황이 포착되고 있습니다.
일부 파일은 남아프리카 공화국에서 보고되었는데, 최근 US-CERT 에서 공개했던 …
안녕하세요. 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다.
특정 정부가 배후에 있는것으로 알려져 있는 국가기반 해킹그룹 일명 '라자루스(Lazarus)'는 지난 03월 해외의 암호화폐 거래소 및 핀테크 관련 회사를 공격시도했던 것으로 알려져 있습니다.
물론, 해외뿐만 아니라, 최근 한국의 특정 대상을 상대로 은밀한 스피어피싱(Spear Phishing) 공격이 포착된 바 있고, 알약 블로그에서는 '라자루스 최신 APT 작전 '배틀 크루저(Operation Battle Cruiser) 재등장' 내용으로 공개한 바 있습니다.
지난 03월 해외에서 보고되었던 악성파일은 당시 MS Word 문서포맷에 악성 매크로(Macro)코드를 삽입한 형태이며, 미끼(Decoy)파일 내용으로는 마치 암호화폐 거래 및 핀테크 관련 내용의 투자 제안서로 위장하고 있었습니다.
[그림 1] 투자 제안서로 위장한 악성 DOC 문서 실행 화면
그런 가운데 ESRC에서는 2018년 11월 유사한 최신 APT 공격사례를 추가로 포착해 위협 인텔리전스 기반의 추적조사를 계속 진행하고 있습니다.
공격자는 2018년 10월 말경 악성 DOC 문서를 제작했는데, 주로 해외를 공격하고 있는 것으로 추정되며, 2개 이상의 공격 정황이 포착되고 있습니다.
일부 파일은 남아프리카 공화국에서 보고되었는데, 최근 US-CERT 에서 공개했던 …