- 8
- 이니스프리
- 조회 수 234
출처 | https://www.boannews.com/media/view.asp?idx=74270 |
---|
이스트시큐리티 ESRC, 한국 대상 최신 APT 공격, 미스터리 베이비 발견
한국의 보안제품 아이콘으로 위장한 최신 APT 공격이 발견됐다.
주로 한국에서 사용되는 문서와 압축파일, 사용자 계정 등을 수집하며, 특히 안드로이드 애플리케이션 개발 및 서명에 활용되는 파일까지 노린 것으로 확인됐다.
이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터(이하 ESRC)는 2018년 10월 31일 제작된 최신 APT 공격용 악성파일을 다수 발견해 긴급 대응을 완료했다고 밝혔다.
이 악성파일들은 한국시간(KST) 기준으로 10월 31일 00시 48분경부터 13시 15분경 사이에 집중적으로 빌드되었고,
감염 환경에 따라 32비트와 64비트용이 각각 다르게 생성된다.
특히, 이 악성파일들은 한국의 특정 보안제품 아이콘으로 위장하고 있으며,
해당 리소스와 그룹 아이콘 등의 언어가 한국어 코드(1042)로 설정됐다.
컴퓨터가 감염될 경우 시스템의 주요 정보와 키보드 입력내용, 사용자 계정 등의 민감 자료가 외부로 무단 유출될 수 있다.
▲한국 보안 제품 아이콘으로 위장하고 있는 악성코드 화면[자료=ESRC]
이번에 발견된 악성코드의 다이얼로그 리소스에는 ‘About baby’ 내용의 캡션이 포함되어 있고,
‘baby, Version 1.0’, ‘Copyright (C) 2017’ 텍스트 코드가 존재하며, 뮤텍스 함수로도 유사한 키워드를 사용하고 있다.
(이하 생략합니다)
알약 블로그에 올라온 내용과 대동소이한 기사이네요.
정부지원을 받는 것으로 추정되는 APT 공격그룹(state-sponsored actor)이고
공격자가 한글을 자유자재로 구사한다니 과연 누구일까요??
작성자
댓글 8
저도 액티브엑스와 각종 보안프로그램을 설치하는 뱅킹용 노트북을 따로 두고
데스크탑은 최소한의 프로그램으로 청정하게 유지하고 있네요 ㅎㅎ
데탑 윈도우 재설치를 최대한 하지 않으려고 해서요 ^^
하지만 뱅킹용 노트북은 여러 금융기관의 잡다한 프로그램이 설치되다보니
거의 1년에 한 번씩 싹 밀어줘야 하더군요 ㄷㄷ
아쉽게도 VMware와 VirtualBox에서 모든 금융기관과 정부기관의 홈페이지에 접속이 가능하지 않더군요 ㅠㅠ
현재까지는 완벽히 지원되는 가상머신이 없다고 알고 있어요.
그리고 노트북에 뱅킹 프로그램을 설치해 놓으면
출장을 가거나 여행을 간 경우에도 공인인증서와 노트북만 휴대하면 되거든요 ^^
(LTE 모듈이 있는 노트북이어서요)
여담이지만 카스퍼스키를 설치하면 일부 은행의 뱅킹 프로그램(특히 기업은행)을 실행할 수 없어요 ㄷㄷ
그만큼 뱅킹 프로그램이 사실상 악성이라는 의미겠죠 ^^
저는 토렌트 머신과 샌드박스 용도로만 사용하는 노트북에 카스퍼스키를 사용하고 있습니다.
윈도우7에서 VitualBox를 사용하여 실행되는 Docker도 완벽하지 못하더군요 ㅠㅠ
유튜브 강좌 보면서 따라했는데 강사분도 윈도우에서 어쩔 수 없는 문제라고 코멘트하더군요.
가상머신에서 호스트머신까지 감염시키는 공격방법도 등장하는 등
이런저런 일들을 계기로 저는 가상머신에 대해 그다지 신뢰하지 않게 되었고
'레알머신(?)만큼 안정적이고 완벽한 가상머신은 없다'라는 것이 제 신조가 되었네요.
가상머신보다는 멀티부팅이 훨씬 안정적이고,
노트북, 스틱PC, 태블릿 여러 대 있는 것이 가상머신보다 더 유용한 것 같아요.
그래서 어쩌다보니 아이패드 4대와 윈도우 노트북 10대 가량을 보유하고 거의 다 실사용하고 있네요 ㄷㄷ
1년에 한 번 정도 쓰는 기기도 있는 것은 함정
물론 테스트 용도로 잠시 사용하고 밀어버리는 것을 반복하는 경우에는 가상머신이 최고이지만요 ^^