APT 공격 - 새로운 "Kimsuky" 악성코드 등장
Contents
2013년 9월 'The “Kimsuky” Operation: A North Korean APT?'라는 제목으로 국내 주요 기관을 대상으로 한 APT 공격에 대해 소개된 적이 있다.(Kaspersky Lab, 2013.09.11) 해당 공격에 사용된 악성코드들은 '한글 취약점악용 문서파일', '원격제어 툴(TeamViewer)', '키로깅', '웹 메일 계정을 통한 통신' 등의 특징을 갖고 있다.
2014년 2월 25일, 당시 공격에 사용된 악성코드와 동일한 유형의 파일들이 확인되었으며, 이는 2차 공격을 위한 것으로 추정된다. 작년과 동일하게 이번에 발견된 악성코드도 취약한 한글문서파일을 통해 최초 감염이 이루어졌으며, 2월 부터 시작된 이러한 유형의 공격이 3월에도 지속적으로 이루어지고 있음을 알 수 있다.
1. 취약점 한글문서
2개의 악성 한글문서 파일이 국내 기관에서 발견되었으며, 각각 2014년 2월 25일과, 2014년 3월 19일 발견된 파일로 공격이 지속적으로 이루어짐을 알 수 있다.
2개의 한글문서 파일에서 사용한 취약점은 문단의 레이아웃을 담당하는 'HWPTAG_PARA_LINE_SEG' 구조체에서 발생하며, 본문의 내용만 다를 뿐 동일한 취약점이 사용되었다. (해당 취약점은 이미 패치가 나와있어, 최신버전의 한글프로그램에서는 동작하지 않음)
아래의 [그림-1]은 2개의 한글문서 파일에서 취약점이 발생하는 위치 및 쉘코드부분을 나타낸다.
[그림-1] 한글문서 취약점 발생하는 부분
해당 한글취약점을 통해 설치되는 파일은 DLL형태로 …
2014년 2월 25일, 당시 공격에 사용된 악성코드와 동일한 유형의 파일들이 확인되었으며, 이는 2차 공격을 위한 것으로 추정된다. 작년과 동일하게 이번에 발견된 악성코드도 취약한 한글문서파일을 통해 최초 감염이 이루어졌으며, 2월 부터 시작된 이러한 유형의 공격이 3월에도 지속적으로 이루어지고 있음을 알 수 있다.
1. 취약점 한글문서
2개의 악성 한글문서 파일이 국내 기관에서 발견되었으며, 각각 2014년 2월 25일과, 2014년 3월 19일 발견된 파일로 공격이 지속적으로 이루어짐을 알 수 있다.
2개의 한글문서 파일에서 사용한 취약점은 문단의 레이아웃을 담당하는 'HWPTAG_PARA_LINE_SEG' 구조체에서 발생하며, 본문의 내용만 다를 뿐 동일한 취약점이 사용되었다. (해당 취약점은 이미 패치가 나와있어, 최신버전의 한글프로그램에서는 동작하지 않음)
아래의 [그림-1]은 2개의 한글문서 파일에서 취약점이 발생하는 위치 및 쉘코드부분을 나타낸다.
[그림-1] 한글문서 취약점 발생하는 부분
해당 한글취약점을 통해 설치되는 파일은 DLL형태로 …