잉카인터넷 시큐리티대응센터 블로그

Check Point 연구팀이 동남아시아 정보의 외무부를 타겟으로 하는 중국의 APT 그룹인 SharpPanda의 공격을 발견하였다. 해당 APT 공격은 정부기관을 사칭하여 악성 문서를 포함한 피싱 메일을 유포하였으며, 해당 문서를 실행하면 추가로 악성 문서인 RoyalRoad를 다운로드 한다. RoyalRoad 악성코드는 MS Office 취약점인 CVE-2017-11882, CVE-2018-0798 및 CVE-2018-0802를 악용한 문서로, 최종적으로 백도어를 설치하여 사용자 PC를 감시하고 민감한 데이터를 훔칠 수 있다. 사진 출처 : https://research.checkpoint.com/2021/chinese-apt-group-targets-southeast-asian-government-..

우리나라 성인의 93% 이상이 스마트폰을 사용하고 있는 요즘, 모바일을 대상으로 하는 APT 공격 그룹이 모습을 보이고 있어 주의가 필요하다. 해당 APT 그룹의 이름은 Donot Team으로 APT-C-35 라고도 불린다. 해당 그룹은 2016년부터 활동한 것으로 추정되며, 파키스탄 정부 관리를 비롯하여 카슈미르 비영리 단체 등을 대상을 타겟으로 공격을 수행한다. 지난 2020년 10월 Google Firebase Cloud를 악용하는 Firestarter 악성코드가 등장하였으며, 지난 18일에도 유사한 악성코드로 다량 유포되었다. 이번 캠페인에서는 아래의 이미지와 같이 안드로이드 업데이트 앱을 모방하여 어플리케이션을 디자인하였다. 해당 악성 앱을 실행하면 다음과 같이 악성 동작에 필요한 권한을 요구한..

1. MS Office Word 문서파일을 이용한 악성파일 발견 잉카인터넷 대응팀은 지능형 표적공격을 집중관제 중에 2013년 10월 30일 경 정보보안예산 내용으로 위장한 DOC 문서형태의 악성파일을 다수 발견하여, 꾸준히 추적 조사 중에 있다. 해당 문서파일을 실행하게 되면 매크로 기능을 통해 이용자 컴퓨터에 추가적인 악성파일이 몰래 설치 시도된다. 따라서 이용자들은 가급적 매크로 기능이 실행되지 않도록 보안설정을 해두고, 신뢰하기 어려운 경우 절대로 매크로 기능을 활성화하지 않도록 주의하여야 한다. 각종 문서파일로 사칭한 악성파일의 경우 이용자들이 무심코 실행하는 경우가 많아 지능적 표적공격에 다수 악용되고 있다. 이메일 첨부파일로 문서파일을 받을 경우 악성여부를 의심하고, 신뢰하기 어려운 경우 절..

1. 한컴오피스 문서파일(HWP/CELL) 취약점을 이용한 불청객 이메일잉카인터넷 대응팀은 상시 보안관제 중 2013년 07월 01일부터 10일까지 한국내 통일연구 및 무역관련 기관을 집중적으로 노린 지능화된 표적공격 정황을 다수 포착하였다. 이번 공격은 한글과컴퓨터사의 한컴오피스 문서파일 취약점을 공통적으로 사용한 특징이 있으며, HWP 파일뿐만 아니라 CELL 파일 취약점도 이용되었다. 또한, 일부는 PDF 문서파일처럼 아이콘을 조작한 실행파일(EXE) 스타일의 악성파일도 함께 발견되는 등 다양한 기법이 동원되었다. 특히, 이메일의 보낸 사람 이름에 "보좌관" 이라고 표기하거나 마치 중요한 업무내용처럼 관련 문구를 포함시킨 사례도 확인되었다. 이는 수신자로 하여금 좀더 안심하고 신뢰할 수 있는 이메일..

1. 개 요 잉카인터넷 대응팀은 최근 APT 공격과 관련한 모니터링중에 독도 영유권 분쟁과 관련한 내용으로 꾸며진 한글 문서 파일을 악용하여 특정 기업을 대상으로 APT 공격이 발생한 정황을 포착하였다. 최근 국내외적으로 이슈가 되고있는 독도 관련 문건으로 호기심을 자극하는 전형적인 사회공학적 기법의 공격 형태를 보이고 있으며, 감염될 경우 키로거 기능 등을 수행하는 것으로 미루어보아 기업들을 대상으로 하는 APT 공격 과정의 초기 분석 단계로 볼 수 있다. [정보]한글 취약점을 악용한 악성파일 유포 주의! ☞ http://erteam.nprotect.com/314 [긴급]HWP 문서 0-Day 취약점 이용한 APT 공격발생 ☞ http://erteam.nprotect.com/297 [주의]악성 HWP ..

1. 개요 잉카인터넷 대응팀에서는 2012년 3월 10일인 티벳(Tibet) 봉기 53주년을 기념해서 이와 관련된 악성파일이 은밀하게 유포 중인 것을 발견하였다. 티벳은 1949년 중국에 침략 당한 이후 정치적, 종교적 이유로 약 120만명이 사망하고, 6,000개 이상의 사원이 파괴당한 것으로 알려져 있다. 이후 1959년 3월 10일 약 30만명의 티벳인들이 평화시위를 벌이면서 시작된 티벳 봉기는 중국 인민해방군의 무력 진압으로 인해 약 8만명의 티벳인들이 사망한 것으로 추산되었고, 이를 추모하기 위해서 매년 3월 10일을 티벳 봉기의 날로 선정하여 전 세계에서 기자회견 및 퍼레이드, 기념식 등을 펼치고 있다. 이 기간 티벳 봉기 기념일과 관련된 보안 위협이 가중될 수 있으므로, 관련된 내용을 참고하..