Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보[주의] 국내외 기관을 타겟으로 북한발 다수의 사이버 공격
작성일 2017-10-19 조회 2048

 

 

최근 북한발 사이버 공격이 국내뿐 아니라 대만, 유럽 등에서 빈번하게 발생하고 있다.

경제 제제 조치에 따라 사이버공격을 통한 외화벌이를 목적으로 다양한 루트를 통해 공격을 시도하고 있다.

 

국내에서는 얼마전 보도 된 공항 자동출입국 시스템 제공업체 해킹 사고 (http://www.boannews.com/media/view.asp?idx=57543&mkind=1&kind=1) , 하나투어의 개인정보 유출 사고 (http://www.boannews.com/media/view.asp?idx=57551&mkind=1&kind=1) 등이 대표적으로 발생한 북한발 사이버 공격이다.

 

 

 

► Sniper 제품군 대응현황

 

Sniper-IPS

[3752] M2soft ActiveX RDVistaSupport RCE
[3753] Win32/Trojan.AryanRAT.76796
[1985] Win32/Backdoor.Gh0st3.78.1ByteCommand
[3175] Win32/Backdoor.Gh0st.InitialConnection.C
[3171] Win32/Backdoor.Gh0st.InitialConnection.B
[1923] Win32/Backdoor.Gh0st.InitialConnection.A
[1922] Win32/Backdoor.Gh0st.InitialConnection
[3430] Win32/Trojan.Ratankba.129024
[3306] Win32/Backdoor.Agent.43526
[3651] Win32/Trojan.BMAgent.1436327
[3652] Win32/Trojan.BMAgent.751323
[3653] Win32/Trojan.BMAgent.279114
[3654] Win32/Trojan.BMAgent.771404
[3655] Win32/Trojan.BMAgent.1524765
[3684] Win32/Trojan.BMAgent.7490103
[3685] Win32/Trojan.BMAgent.143872
[3686] Win32/Trojan.BMAgent.739543

 

Sniper-UTM

[805374251] M2soft ActiveX RDVistaSupport RCE
[838861271] Win32/Trojan.AryanRAT.76796
[838861232] Win32/Trojan.BMAgent.1436327
[838861233] Win32/Trojan.BMAgent.751323
[838861234] Win32/Trojan.BMAgent.279114
[838861235] Win32/Trojan.BMAgent.771404
[838861249] Win32/Trojan.BMAgent.7490103
[838861250] Win32/Trojan.BMAgent.143872
[838861251] Win32/Trojan.BMAgent.739543

 

Sniper-APTX

[2952] M2soft ActiveX RDVistaSupport RCE
[2953] Win32/Trojan.AryanRAT.76796
[2841] Win32/Trojan.BMAgent.1436327
[2842] Win32/Trojan.BMAgent.751323
[2843] Win32/Trojan.BMAgent.279114
[2844] Win32/Trojan.BMAgent.771404
[2845] Win32/Trojan.BMAgent.1524765
[2876] Win32/Trojan.BMAgent.7490103
[2877] Win32/Trojan.BMAgent.143872
[2878] Win32/Trojan.BMAgent.739543

 

 

 

 

► 공항 자동출입국 시스템 제공업체 해킹 사고

 

[그림 1] 사고 당시 SI 업체 홈페이지

 

이번 사고는 지나 5월 경부터 SI 업체 웹사이트 방문자를 대상으로 워터링 홀(Watering Hole) 방식을 통해 유포한 것으로 방문자 PC에 엑티브X 취약점이 있을 경우 악성코드에 감염되는 것으로 드러났다.

 

과거 국내 방위업체를 타겟으로 하는 공격을 했던 북한 '고스트 라이플' 해킹그룹으로 의심되며, 삽입된 취약점은 6월 패치된 M2soft취약점이고, RAT 계열의 악성코드를 유포했다.

 

[그림 2] 공격 흐름도

 

 

▶ 공격자 C&C 정보

www.xxxxxxx.co.kr/board/free/photo480/index.php

 

 

▶ 취약점 정보

- M2soft의 Report Designer 5.0 및 CROWNIX Report & ERS 6.0 제품(리포트 출력기능)에서 임의 코드 실행이 가능

- KISA 6월 공지 참조 (https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25844)

 

[그림 3] 삽입된 취약점 스크립트

 

▶ 유포 악성코드

- http://www.xxxxxxx.co.kr/board/free/photo480/rss[.]gif

- RAT Aryan 악성코드

- 과거 북한 '고스트 라이플' 해킹그룹 국내 방위 업체 타겟 공격에 사용

- ‘Fuck Hack Hound.’

 

 

▶ 유포 일시 : 2017년 5월 ~ 10월

 

 

 

 

 

 

 

첨부파일 첨부파일이 없습니다.
태그   공항 자동출입국 시스템 제공업체 해킹 사고   하나투어의 개인정보 유출 사고   북한