apt26 동아시아 IT 기업을 공격하는 WinDealer 악성코드 LuoYu 해킹 그룹은 2014년에 처음 등장하여 2017년도 까지는 한국을 포함해 중국, 홍콩, 일본, 대만 등 동아시아 지역의 IT 산업을 대상으로 공격을 시도했다. 하지만 2017년도부터 IT 기업뿐만 아니라 교육 서비스 직종 및 미디어 기업과 같은 업종을 공격 대상에 포함시켰다. 해당 해킹 그룹은 Mac, Linux, Windows 및 Android 시스템을 대상으로 하며 "WinDealer" 뿐만 아니라 "ReverseWindow", "SpyDealer"과 같은 악성코드도 함께 사용한다. "WinDealer" 악성코드는 특정 폴더에 존재하는 데이터 파일들을 이용하여 공격자의 C&C 서버 정보 및 공격자가 필요로 하는 특정 정보를 읽어온다. 최종적으로 "WinDealer" 악성코드 내부에 하드코딩.. 2021. 11. 11. 2021년 3분기 국가별 해커그룹 동향 보고서 국가별 해커그룹 공격 사례 러시아 러시아의 해커그룹들은 정부의 지원을 받아, 긴 시간 동안 여러 국가 및 기관을 대상으로 공격을 수행해왔다. 오랜 활동으로 Cobalt Strike와 같이 알려진 악성 코드도 존재하지만, 지속적으로 감염 방식에 변화를 주며 공격을 시도하고 있다. 최근 캠페인에서는 제로데이 취약점을 사용하여 공격을 시도하기도 하였으며, 새로운 악성코드가 발견되기도 하였다. Turla Turla 그룹은 러시아 정부를 배후로 둔 해커그룹으로, 2004년부터 활동한 것으로 추정된다. 해당 그룹은 각국의 군사 및 교육, 연구기관 등 여러 산업 분야를 대상으로 APT 공격을 수행한다. 9월 중순에는 이 그룹의 것으로 추정되는 새로운 악성코드가 발견되었다. 이 악성코드는 미국과 독일, 아프가니스탄 정.. 2021. 9. 30. 전세계를 표적으로 활동하는 FamousSparrow 최근 유럽과 중동, 아시아 등을 표적으로 하는 FamousSparrow 해커 그룹이 발견되었다. 해당 해커 그룹은 슬로바키아의 보안 회사 ESET에 의해 발견되었으며, 2019년부터 활동한 것으로 추정된다. 이 그룹은 ProxyLogon으로 알려진 Microsoft Exchange 취약점을 비롯하여, MS SharePoint 원격 코드 실행 취약점을 악용하며, 사용자 PC에 SparrowDoor 백도어를 설치하여 악성동작을 수행한다. SparrowDoor는 FamousSparrow 그룹에서만 사용하는 백도어로 알려졌으며, Mimikatz 변종과 함께 유포되었다. 사진 출처: ESET 출처 [1] ESET (2021.09.24) – FamousSparrow: A suspicious hotel guest h.. 2021. 9. 24. Zoom을 사칭한 LuminousMoth의 APT 공격 최근 동남아시아를 대상으로 한 LuminousMoth APT 그룹의 표적 공격이 발견되었다. Kaspersky에 따르면 해당 그룹은 Cobalt Strike Beacon 악성코드를 주로 배포하는 것으로 알려져, Mustang Panda 또는 HoneyMyte 그룹과 관련 있는 것으로 추정된다. 이번 APT 공격에서는 Covid-19로 인해 사용자가 급증한 화상 회의 소프트웨어인 Zoom의 서명을 사칭하여 배포되었으며, USB 드라이브를 감염시키는 특징이 있는 것으로 알려졌다. 사진 출처: Kaspersky 출처 [1] Kaspersky (2021.07.20) – LuminousMoth APT: Sweeping attacks for the chosen few https://securelist.com/apt.. 2021. 7. 21. JSSLoader 변종 발견 시스템에 침입한 후, 추가 악성 페이로드를 배포하기 위해 사용하는 악성코드인 “JSSLoader”의 변종이 발견됐다. 기존에는 .NET으로 제작했으나 이번에 발견된 변종은 C++ 언어로 만들어졌다. 또한, 특정 APT 그룹에서 해당 로더를 사용해 주로 “CARBANAK” 백도어 악성코드를 다운로드 및 실행하는 것으로 알려졌다. [표 1]은 “JSSLoader”가 사용하는 명령어를 2019년부터 각 해마다 정리한 표이다. 2020년에 등장한 “JSSLoader”는 2019년도에 발견한 샘플에서 사용하던 5개의 명령어 외에 “Cmd_RAT”, “Cmd_PWS” 등의 명령어를 추가해 최종 10개의 명령어를 사용했다. 다음은 [표 1]에 작성한 명령어의 코드이다. 최근 발견한 샘플은 기존에 사용하던 .NET이 .. 2021. 7. 13. 2021년 2분기 국가별 해커그룹 동향 보고서 국가별 해커그룹 공격 사례 러시아 러시아의 해커그룹들은 작년에 이어 올해까지 지속적으로 공격을 수행하고 있다. 그 중, 이번 2분기에는 CozyBear와 FancyBear가 눈에 띄는 APT 공격을 수행하였다. CozyBear 해커그룹은 미국의 정부기관을 대상으로 마케팅 계정의 권한을 사칭하여 다량의 피싱 메일을 유포하였다. 그리고 FancyBear 해커그룹은 이전에 자주 사용하던 Zebrocy를 대체하여 새로운 악성코드를 가지고 공격을 시도하였다. CozyBear (APT29) CozyBear는 러시아 대외정보국 (SVR)을 배후로 두고 2008년부터 활동한 것으로 알려졌으며, Nobelium 또는 APT29 등으로 불린다. 해당 해커그룹은 전세계의 연구기관, 싱크 탱크, 비정부 기관 및 정부 기관 등.. 2021. 7. 7. 이전 1 2 3 4 5 다음
