<div><br /></div> <div><br /></div> <div>전문 링크: <a target="_blank" href="http://www.kaspersky.co.kr/board/bbs/board.php?bo_table=News&wr_id=789" style="font-size: 9pt; line-height: 1.5" target="_blank">http://www.kaspersky.co.kr/board/bbs/board.php?bo_table=News&wr_id=789</a></div> <div><br /></div> <div><br /></div> <div>--------------------------------------------</div> <div><br /></div> <div><br /></div> <div> <table width="100%" cellspacing="0" cellpadding="0" style="font-size: 12px; line-height: normal; font-family: arial; border-collapse: collapse; margin: 0px"> <tbody> <tr> <td style="padding: 0px"><font face="맑은 고딕" color="#005447"><span style="font-size: 15pt"><b>[분석 리포트] 북한인의 대한민국 내 주요 기관을 대상으로 한 APT 공격의 결정적 징후</b></span></font></td></tr> <tr> <td style="padding: 0px"> </td></tr> <tr> <td height="150" style="padding: 0px; word-break: break-all"><span class="ct lh"> <div>지난 몇 달 동안 우리는 대한민국의 주요 기관을 대상으로 한 사이버 스파이 활동을 모니터링 해 왔으며, 이 스파이 활동은 지금까지도 진행 중입니다. 이 스파이 활동이 계획과 실행에 있어서 주목할만하다고 생각되는 몇 가지 이유가 있습니다. 어느 날 우리는 무료 메일서버를 통해 "마스터"와 통신하는 다소 단순한 스파이 프로그램을 발견하였습니다.</div> <div> </div> <div>그렇지만, 우리의 주목을 끄는 몇 가지 흥미로운 점이 있었습니다.</div> <div> </div> <div>• 불가리아 무료 이메일 서버인 mail.bg가 사용되었다. <br />• 컴파일 경로에 한글이 포함되어 있다.</div> <div><br />한글이 사용되었고 불가리아 이메일을 명령-제어 통신에 사용한다는 두 가지 사실이 우리에게 해당 악성코드를 좀 더 자세히 분석해야 할 필요가 있음을 알려 주었습니다.</div> <div><br />다음과 같이 악성코드 내에 포함된 절대 경로에 한글이 포함되어 있습니다.</div> <p align="center" style="margin: 0px 0px 0.6em"><br />D:\rsh\공격\UAC_dll(완성)\Release\test.pdb</p> <div></div> <div><br />"rsh"은 "Remote Shell"의 약자로 추측됩니다.</div> <div> </div> <div>피해자의 대부분을 정확히 알 수는 없었지만, 우리는 몇몇 대상을 식별할 수 있었으며, 이 활동에 의해 감염이 확인된 몇몇 기관은 다음과 같습니다; 세종연구소, 국방연구원, 통일부, 현대상선</div> <div> </div> <div>아울러 몇몇 단서는 "통일을 생각하는 사람들의 모임((<a target="_blank" href="http://www.unihope.kr/" style="color: #333333; text-decoration: none" target="_blank">http://www.unihope.kr/</a>)"의 컴퓨터들이 이 공격에 효과적으로 대응을 하지 못했다는 것 또한 알려주고 있습니다. 이외의 다른 기관들도 공격 대상이 되었는데, 총 피해 기관 중 11개는 대한민국이고 2개는 중국이었습니다.</div> <div> </div> <div>이 공격은 매우 제한적이며 소수의 기관을 대상으로 하고 있기 때문에, 우리는 이 악성코드의 배포 경로를 확인할 수 없었으며, 모니터링을 시작하면서 우리가 발견한 이 악성코드 샘플은 대부분 피싱 이메일을 통해 배포되는 초창기 악성코드 형태를 가지고 있었습니다.</div> <div><br /></div> <div style="text-align: center">(이하 생략)</div> <div style="text-align: center"><br /></div> <div style="text-align: center"><br /></div> <div style="text-align: left">---------------------------------------------------------------------------------------------</div> <div style="text-align: left"><br /></div> <div style="text-align: left">여태껏 언론에서 떠들어댄 사이버 공격들 분석보다는 훨씬 전문적이고 깊은 수준의 분석이네요.</div> <div style="text-align: left"><br /></div> <div style="text-align: left">분명 북풍으로 정치권에서 써먹으려 터뜨리는것도 있겠지만... 북한의 사이버 공격이 실질적으로 이루어 지고 있다는게 확인됐네요.</div> <div style="text-align: left"><br /></div> <div style="text-align: left">안랩에서 좀 벗어나야 할텐데..</div></span></td></tr></tbody></table></div>
댓글 분란 또는 분쟁 때문에 전체 댓글이 블라인드 처리되었습니다.