2019년 북한 신년사 평가로 위장한 '오퍼레이션 엔케이 뉴이어(Operation NK New Year)' APT 사이버 위협 등장
Contents
2019년 북한 신년사 평가로 위장한 '오퍼레이션 엔케이 뉴이어(Operation NK New Year)' APT 사이버 위협 등장
안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다.
2019년 01월 03일 '190101-신년사_평가.hwp' 문서내용을 보여주는 APT 공격이 발견되었습니다. 이 공격조직이 사용한 기법을 분석할 결과 2014년 한수원 공격에 사용된 코드와 유사한 것으로 확인되었습니다.
해당 위협조직은 얼마전 "작전명 블랙 리무진(Operation Black Limousine)"으로 대남 사이버공격을 수행한 바 있으며, 2018년 12월 말에는 탈북민 관련 사항으로 문서파일 취약점 기반 공격을 수행하기도 했습니다.
이번 악성코드가 사용한 문서의 타이틀에는 '2019년 북한 신년사 평가' 문구를 가지고 있으며, 마치 정부기관 문건처럼 보이는 내용도 존재합니다.
ESRC에서는 이번 2019년 최신 APT공격을 "작전명 엔케이 뉴이어(Operation NK New Year)"로 명명하고, "쓰렛 인사이드(Threat Inside)" 서비스를 통해 보다 다양한 침해지표(IoC) 등을 별도 제공할 예정입니다.
[그림 1] 2019년 북한 신년사 평가 내용을 담고 있는 화면
메인 숙주 파일은 EXE 형태로 제작되었고, 'SRV' 리소스에 3개의 데이터를 포함하고 있습니다.
- 129 (한국어) : 64비트 DLL 악성 모듈
- 130 (한국어) : 32비트 DLL 악성 모듈
- 131 (한국어) : 정상 HWP 문서 파일 …
안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다.
2019년 01월 03일 '190101-신년사_평가.hwp' 문서내용을 보여주는 APT 공격이 발견되었습니다. 이 공격조직이 사용한 기법을 분석할 결과 2014년 한수원 공격에 사용된 코드와 유사한 것으로 확인되었습니다.
해당 위협조직은 얼마전 "작전명 블랙 리무진(Operation Black Limousine)"으로 대남 사이버공격을 수행한 바 있으며, 2018년 12월 말에는 탈북민 관련 사항으로 문서파일 취약점 기반 공격을 수행하기도 했습니다.
이번 악성코드가 사용한 문서의 타이틀에는 '2019년 북한 신년사 평가' 문구를 가지고 있으며, 마치 정부기관 문건처럼 보이는 내용도 존재합니다.
ESRC에서는 이번 2019년 최신 APT공격을 "작전명 엔케이 뉴이어(Operation NK New Year)"로 명명하고, "쓰렛 인사이드(Threat Inside)" 서비스를 통해 보다 다양한 침해지표(IoC) 등을 별도 제공할 예정입니다.
[그림 1] 2019년 북한 신년사 평가 내용을 담고 있는 화면
메인 숙주 파일은 EXE 형태로 제작되었고, 'SRV' 리소스에 3개의 데이터를 포함하고 있습니다.
- 129 (한국어) : 64비트 DLL 악성 모듈
- 130 (한국어) : 32비트 DLL 악성 모듈
- 131 (한국어) : 정상 HWP 문서 파일 …