m.boannews.com/html/detail.html?tab_type=1&idx=94024
북한의 APT37, 악성 워드 문서 활용해 한국 공격했었다
보안 업체 멀웨어바이츠(Malwarebytes)가 북한의 해킹 그룹에 대한 새로운 내용의 보고서를 발표했다. APT37로 분류되는 공격 단체가 록랫(RokRAT)이라는 멀웨어를 사용해 한국 정부 기관들로부터 정보
m.boannews.com
북한의 APT37, 악성 워드 문서 활용해 한국 공격했었다
줄거리
2020년 1월에 컴파일링 된 악성 워드 문서가 발견되었다.
해당 파일에는 매크로가 삽입되어 있었고, 피해자가 이 문서를 열면 발동된다.
주입된 페이로드를 기반으로 이 샘플이 APT37 그룹과 연관되어 있다고 생각하였다.
[공격순서]
매크로 발동 -> VBA 자가 디코딩 기능이 오피스의 메모리 영역 내에서 실행(디스크에 남지 않음) -> 록랫의 변종이 메모장 애플리케이션에 임베드 -> 피해자 시스템의 여러 가지 정보 추출
주요 스파이 기능
1) 스크린샷 캡쳐
2) 사용자 이름, 컴퓨터 이름, BIOS 등 시스템 정보 수집
3) 수집한 데이터를 클라우드 서비스로 전송
4) 크리덴셜 탈취
5) 파일 관리 및 암호화/복호화 관리
몰랐던 지식
- 록랫: 클라우드 기반 원격 접근 트로이목마, 피해자의 시스템으로부터 정보를 훔쳐낸 뒤 여러 공공 클라우드 서비스에 저장하기 때문, 피씨클라우드(PcCloud), 드롭박스(Dropbox), 박스(Box), 얀덱스(Yandex)와 같은 서비스들이 주로 활용
- 침해지표(IOC: Indicator Of Compromise): 여러 침해사고의 흔적들을 일정한 포맷으로 정리 해 놓은 문서 또는 파일
=> 최근 한글 파일이나 오피스 문서 파일을 대상으로 한 악성코드가 많아지고 있는데, 그중에서도 메모리 영역에서 실행하고 디스크에 남지 않는 공격이 증가하고 있다. 디스크에서 흔적이 남지 않기 때문에 백신을 우회할 확률이 높아지면서 탐지하기가 어려워지고 있는 것 같다.
'Security > 보안뉴스요약' 카테고리의 다른 글
| [210118] 새로운 랜섬웨어 패밀리 바북, 복잡한 암호화 알고리즘 채용해 (280) | 2021.01.18 |
|---|---|
| [210114] 中, 2020년 12월 정보보안 취약점 1,200여개 (284) | 2021.01.14 |
| [210113] 자이젤 방화벽·컨트롤러 취약점 발견 (313) | 2021.01.13 |
| [210112] 파수, VDI 환경 지원하는 화면 보안 사업 연이어 수주 (296) | 2021.01.12 |
| [200911] "블러투스(BLURtooth)" (0) | 2020.09.11 |