Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보금융보안원 발표 국내사이버위협 Campaign Rifle
작성일 2017-08-31 조회 2148

 

 

 

7월 금융보안원에서 2017 사이버 위협 인텔리전스보고서를 공개했다.

(http://www.fsec.or.kr/user/bbs/fsec/21/13/bbsDataView/910.do)

국내 IT 및 업무환경 특성 등을 사전에 파악하고 이를 이용한 공격을 수행하고 있는 특정 위협그룹에 대한 프로파일링을 진행하였으며 그 결과를  2017 사이버 위협 인텔리전스보고서에 기술하였다.

금융보안원은 2015년부터 2017년 상반기까지 알려진 복수의 침해사고 및 악성코드들의 연관성을 추적하여 동일한 공격자에 의한 일련의 행위임을 확인하고 라이플(Rifle) 캠페인으로 명명하여 분석을 수행하였다.

 

 

국내 공격 배후로 3그룹의 해킹그룹을 지목했으며, 공격 대상과 시점이 다른 공격이 동일한 위협그룹에 의해 진행된 것으로 판단하기 위해서 디지털 포렌식 및 악성코드 분석을 통한 연관성을 확인하였다.

 

 

 

► Sniper 제품군 대응현황

Sniper-IPS

[1985] Win32/Backdoor.Gh0st3.78.1ByteCommand
[3175] Win32/Backdoor.Gh0st.InitialConnection.C
[3171] Win32/Backdoor.Gh0st.InitialConnection.B
[1923] Win32/Backdoor.Gh0st.InitialConnection.A
[1922] Win32/Backdoor.Gh0st.InitialConnection
[3430] Win32/Trojan.Ratankba.129024
[3306] Win32/Backdoor.Agent.43526
[3651] Win32/Trojan.BMAgent.1436327
[3652] Win32/Trojan.BMAgent.751323
[3653] Win32/Trojan.BMAgent.279114
[3654] Win32/Trojan.BMAgent.771404
[3655] Win32/Trojan.BMAgent.1524765
[3684] Win32/Trojan.BMAgent.7490103
[3685] Win32/Trojan.BMAgent.143872
[3686] Win32/Trojan.BMAgent.739543

 

Sniper-UTM

[838861232] Win32/Trojan.BMAgent.1436327
[838861233] Win32/Trojan.BMAgent.751323
[838861234] Win32/Trojan.BMAgent.279114
[838861235] Win32/Trojan.BMAgent.771404
[838861249] Win32/Trojan.BMAgent.7490103
[838861250] Win32/Trojan.BMAgent.143872
[838861251] Win32/Trojan.BMAgent.739543

 

Sniper-APTX

[2841] Win32/Trojan.BMAgent.1436327
[2842] Win32/Trojan.BMAgent.751323
[2843] Win32/Trojan.BMAgent.279114
[2844] Win32/Trojan.BMAgent.771404
[2845] Win32/Trojan.BMAgent.1524765
[2876] Win32/Trojan.BMAgent.7490103
[2877] Win32/Trojan.BMAgent.143872
[2878] Win32/Trojan.BMAgent.739543

 

최근 탐지된 온라인 포커게임 해킹 기능을 수행하는 악성코드의 설치 시도 등을 볼 때, 안다리엘은 외화벌이에 주력하고 있는 것으로 추정

 

► 취약시스템

Windows All Systems

 

 

► 위험도

 

 

► 공격영향

정보유출
임의코드실행

 

 

► 해결방안

1. 의심스러운 메일의 첨부파일을 열어보지 않는다.
2. 최신의 백신으로 치료한다.
3. 어플리케이션/OS의 보안업데이트를 최신으로 유지한다.
4. 수동 치료시, 아래와 같은 부분을 점검한다.
 1) 시작 프로그램에 알려지지 않은 시작 프로그램이 등록되어 있는지 확인 후 삭제
 2) 인터넷 예약된 작업에 불필요한 예약된 작업이 존재하는지 확인 후, 삭제
 3) %TMP% 하위에 확인되지 않은 실행 파일(exe, bat)이 존재하는지 확인 후, 삭제

 

 

첨부파일 첨부파일이 없습니다.
태그   Campaign Rifle  금융보안원  2017 사이버 위협 인텔리전스보고서