* 출처는 안랩입니다.
* 최근 ‘APT37’이라는 이름으로 활동 중인 북한 해커 그룹이 활발히 활동중이라니 알림차원에서
올리고 참고하셔서 피해 없으시길 바라며 알리고 아래는 내용중 일부입니다.
과거부터 다양한 APT 그룹이 사이버 생태계를 위협해왔다. 그중 ‘APT37’이라는 이름으로 활동 중인 북한 해커 그룹이 최근 '치노토(Chinotto)'라는 새로운 악성코드를 배포하는 것으로 알려지며 보안 업계를 떠들썩하게 했다.
이번 글에서는 안랩이 추적 및 분석한 내용을 바탕으로 APT37 공격 방식과 이들이 배포하고 있는 악성코드에 대해 소개한다.
APT37 공격 동향
APT37은 2012년부터 활동을 시작한 것으로 추정되며, 스카크러프트(ScarCruft), 리퍼(Reaper), 그룹123(Group123) 등 다양한 이름으로 불리고 있다. 이들은 지능적인 방법으로 꾸준히 해킹 대상을 위협하는 위협 그룹으로서 APT(Advanced Persistent Threat)로 분류된다. 쉽게 말하자면 일종의 사이버 스토킹과도 비슷하다.
그렇다면 이들은 최근 누구를 스토킹(타깃)하고 있을까? APT37은 그동안 주로 한국의 공공부문과 민간부문을 표적으로 삼아왔다. 이들의 한국을 포함해 일본, 베트남, 중동 등의 지역에서 화학, 전자, 제조, 한공우주, 자동차, 의료기관 등 다양한 산업군을 타깃하며 활동 범위를 확대해 나가고 있다.
안랩이 추적 및 분석한 최근 APT37 공격에 따르면, 이들은 '간담회 의뢰서.doc' 제목의 파일을 이용해 기자, 북한 탈북민, 인권운동가 또는 북한 관련 종사자들을 대상으로 공격을 펼치는 것으로 드러났다.
[그림 1]은 최근 공격에 사용된 ‘간담회 의뢰서.doc’ 파일을 보여주고 있다.
[그림 1] 간담회 의뢰서.doc 파일의 내용
[그림 1]에서 볼 수 있듯이 악성 문서 파일은 '콘텐츠 사용' 버튼을 이용해 사용자들이 매크로를 실행하도록 유도하고 있다. 해당 문서의 매크로를 실행하면 시스템에서 악성 행위가 발현된다.
* 전체내용은 아래에서 확인하시길 바랍니다.
https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=31007&utm_source=CM&utm_medium=eDM&utm_campaign=SL%5FtypeC&utm_content=896
무
조
