SectorA05 PDF Malware disguised as a Northeast Asia Economic Association Executive Course
Contents
SectorA05 PDF Malware disguised as a Northeast Asia Economic Association Executive Course
동아시아에 위치한 특정 국가 정부로부터 지원을 받는 해킹 그룹 중 하나인 SectorA05 그룹이 알려진 취약점을 포함한 아크로뱃 리더(Acrobat Reader) 파일을 사용해 한국의 특정 조직들을 대상으로 한 해킹 활동이 발견되었다.
해당 해킹 활동에서는 스피어 피싱(Spear Phishing) 이메일의 첨부파일로 아크로뱃 리더(Acrobat Reader)의 파일 형식인 PDF 파일이 활용 되었다.
첨부 파일로 존재하는 PDF 파일들은 모두 2020년 발견된 CVE-2020-9715 취약점을 악용하며, 감염 시스템에서 정보 수집 목적의 특정 악성코드를 생성하게 된다.
[그림 1: 해킹 활동에서 발견된 악성 PDF 파일 실행 화면(1)]
[그림 2: 해킹 활동에서 발견된 악성 PDF 파일 실행 화면(2)]
이번 해킹 활동에서 발견된 스피어 피싱 이메일은 한국의 특정 포털 웹사이트 이메일 주소를 이용하여 발신되었으며, 발신지는 한국 내 특정 웹호스팅 업체에서 운영 중인 시스템들로 확인 되었다.
취약점을 포함한 PDF 파일과 함께 발견된 정보 수집 목적의 악성코드들은 공통적으로 동일 해킹 그룹이 2018년 사용하였던 악성코드와 유사한 코드 특성을 가지고 있다. 이 중 C2 서버와 통신을 위한 일부 코드는 2020년부터 현재까지 활용되고 …
동아시아에 위치한 특정 국가 정부로부터 지원을 받는 해킹 그룹 중 하나인 SectorA05 그룹이 알려진 취약점을 포함한 아크로뱃 리더(Acrobat Reader) 파일을 사용해 한국의 특정 조직들을 대상으로 한 해킹 활동이 발견되었다.
해당 해킹 활동에서는 스피어 피싱(Spear Phishing) 이메일의 첨부파일로 아크로뱃 리더(Acrobat Reader)의 파일 형식인 PDF 파일이 활용 되었다.
첨부 파일로 존재하는 PDF 파일들은 모두 2020년 발견된 CVE-2020-9715 취약점을 악용하며, 감염 시스템에서 정보 수집 목적의 특정 악성코드를 생성하게 된다.
[그림 1: 해킹 활동에서 발견된 악성 PDF 파일 실행 화면(1)]
[그림 2: 해킹 활동에서 발견된 악성 PDF 파일 실행 화면(2)]
이번 해킹 활동에서 발견된 스피어 피싱 이메일은 한국의 특정 포털 웹사이트 이메일 주소를 이용하여 발신되었으며, 발신지는 한국 내 특정 웹호스팅 업체에서 운영 중인 시스템들로 확인 되었다.
취약점을 포함한 PDF 파일과 함께 발견된 정보 수집 목적의 악성코드들은 공통적으로 동일 해킹 그룹이 2018년 사용하였던 악성코드와 유사한 코드 특성을 가지고 있다. 이 중 C2 서버와 통신을 위한 일부 코드는 2020년부터 현재까지 활용되고 …