본문내용 바로가기 메인메뉴 바로가기 하단내용 바로가기

최신동향

최신동향 상세보기
호텔 업계를 타겟으로 한 사이버 스파이 공격 수행 시도 발견2017.08.22
개요
  • 파이어아이, 유럽 및 중동 호텔 방문자를 대상으로 악성 매크로가 포함된 스피어피싱 흔적 발견
     
     
 

주요내용

 

  • 악성 워드문서 내에서 러시아 해커그룹 APT28의 GAMEFISH 악성코드를 발견
    ※ C&C 도메인으로 mvband.net과 mvtband.net를 사용
  • SMB 취약점을 이용하는 EternalBlue의 한 버전을 사용하고 있으며, Responder 툴을 통해 사용자 아이디 및 해시된 패스워드 값을 획득
    ※ Responder : NetBIOS Name Service(NBT-NS) 브로드캐스팅 쿼리에 거짓 응답하여 계정 정보를 탈취하는 오픈소스 파이썬 스크립트
  • 탈취한 사용자 계정을 통해 네트워크 내 권한 상승 가능
  • 파이어아이는 현재 타겟된 호텔에서 탈취된 정보는 없는 것으로 밝혔으며, 특히 정부 및 비즈니스 관계자들의 주의를 당부
     
<그림1. 피싱 이메일에 첨부된 악성 문서>
피싱 이메일에 첨부된 악성 문서 - Hotel Reservation With Guarantee

 

시사점

 

  1. 워드 문서의 매크로 자동 실행 금지 및 공용 와이파이보다 개인적인 핫스팟 사용 권고
     


[출처]
1. FireEye,, “APT28 Targets Hospitality Sector, Presents Threat to Travelers”, 2017.8.11.
2. BLEEPINGCOMPUTER “Russian Cyberspies Are Using NSA Tools to Target European Hotels”, 2017.8.11.



작성 : 침해대응단 탐지1팀
키워드 사이버 스파이 , 스피어피싱