관련하여 zip.exe 파일의 내용이 트로이 목마와 정보탈취용으로 언급한 바가 있습니다. 불필요한 언급들이 있어서 추가 다운로드 파일까지 확인된 모든 내역을 공개 합니다.
5.31일과 6.1일 이미 사전 좀비 PC 확보를 위한 노력들이 있었다는 것을 PCDS를 통해서 확인하고 알려 드린바가 있습니다. 해당 시점에 송사리와 심디스크 사이트가 경유지로 동시에 이용 당한 정황이 있었고 , 6.25일 공격에 두 사이트의 업데이트 파일이 이용된 정황이 발견 됨에 따라 연관 관계를 분석하여 전달 드린 바가 있습니다.
악성파일은 zip.exe 이고 두 종류의 zip.exe 파일이 존재합니다.
감염 이후 추가 다운로드 파일들도 있는 상태로 유포시점에 확인이 되었고, 추가 다운로드 및 변경된 zip.exe 파일까지 모두 포함하여 5종의 악성파일을 확인 하였습니다.
해당 파일들은 모두 6월초의 정보제공 서비스 가입기업에게 위협레벨에 따라 정보공유 된바가 있습니다.
일각에서 초기 악성파일의 특성 (게임계정탈취)만을 가지고 문제가 있다고 언급하는 곳들이 있어서 명확하게 알려 드립니다.
지난 주에 검증까지 완료 되었지만, 말씀을 드리지 않았는데 불필요한 추정과 언급을 끝내기 위해 자체 검증과는 별도로 시만텍과 공조하여 검증된 내용으로 확인 드립니다.
logo.jpg_5598F8A01D7F52A20ACC7
<http://
server.exe_5598F8A01D7F52A20AC
<http://
tvk.exe_0C0052C8EBE1C881C17E71
<http://
tvk.exe 파일의 경우 Backdoor이며 시만텍의 분류에는 유명한 Red October 류의 트로이 목마로 분류하고 있네요. 워드와 엑셀로 메일을 통해서만 침입 하는 걸로 알려졌던 그 유형입니다.
zip.exe_12C76FEE19D6460825CEAF
<http://
zip.exe_7EBA645D591C8B6E8DD9F8
<http://
송사리와 심디스크가 경유지중 하나로 이용된 악성링크에서 추가로 유포된 악성파일 5종에 대한 시만텍의 분석 내용입니다. 이중 처음에 유포된 것이 zip.exe Infostealer로 게임계정 탈취 버전이고 그 이후 유포된 것이 트로이 목마가 되겠습니다.
추가 다운로드까지 포함하여 트로이 목마 계열이 3종이 포함 되어 있었음을 공식적으로 알려 드립니다.
감사합니다.
'Security Indicator > Insight' 카테고리의 다른 글
2014 IT보안의 현실과 직면한 문제, 그리고 해결의 실마리 (0) | 2014.01.06 |
---|---|
연목구어(緣木求魚) “문제의 해결은 원인을 제거함으로써 완성된다.” (0) | 2013.10.08 |
6.25 사이버 공격에 대한 다른 시각과 분석 (0) | 2013.07.02 |
S.Korea millitary service Targeted attack without IE 8 zeroday ,Finally fireeye analysis is wrong. (0) | 2013.05.24 |
IE 8 노린 제로데이 공격, 국내서 발생 (5월 3주차) (0) | 2013.05.22 |