新APT攻击使用EST Security图标隐藏恶意代码

EST Security研究人员2019年1月20日发现了新APT攻击，但恶意软件显示创建时间为1月21日上午6点左右，因为使用EST Security的图标，因此命名为“假胶囊行动”。攻击中使用的文档伪装成HWP文档，使用SCR作为扩展名，由于中间包含大量空格，在文件夹中无法看到扩展名。恶意文件中有三个独立的数据，使用韩语编写。投放器使用伪装成“Alyac”安全程序的文件夹和文件名，并且使用EST Security的胶囊图标。攻击者在C2服务器上创建了Est文件夹，并且单独分离C2代码以躲避检测。