디지털 서명 검증을 우회하는 MS Word 변조 악성코드 주의 (CVE-2013-3900)

이스트시큐리티 대응센터(ESRC)에서 운영 중인 TDS(Threat Detection System) 이메일 모니터링 시스템을 통해, 정상 서명된 Microsoft Word 실행 파일로 위장하여 보안 솔루션의 신뢰 검증을 우회하는 정교한 다단계 로더 악성코드가 확인되었습니다. 이번 악성코드는 저작권 침해를 경고하는 피싱 메일을 통해 유포되었으며, 정상적으로 서명된 Microsoft Word 파일을 변조했음에도 Windows가 이를 여전히 "정상 Microsoft 파일"로 인식하게 만드는 오래된 취약점(CVE-2013-3900) 을 악용한 것이 특징입니다. 개요 및 유입 경로 공격자는 국내 여행사를 사칭해 ‘저작권 침해 콘텐츠 제거 요청’ 이라는 제목의 피싱메일을 유포하였으며 메일 본문에는 "무단 전시 파..

오픈소스 공급망을 넘어 로컬 AI 인프라를 겨냥한 위협 분석

최근 npm 저장소에 Web3 개발 도구 및 보안 점검 도구로 위장한 악성 패키지가 다수 배포된 사실이 확인되었습니다. 해당 캠페인은 ddjidd5640이라는 npm 계정을 통해 유포되었으며, 단순히 악성 패키지를 설치하도록 유도하는 기존 공격 방식에서 한 단계 진화한 형태로 분석됩니다. 공격자는 개발자가 직접 패키지를 실행하는 경로뿐 아니라, AI 개발도구가 신뢰하고 읽어 들이는 프로젝트 지침 파일, AI 에이전트가 호출하는 외부 도구, 사용자가 안내에 따라 실행하는 후속 스크립트까지 공격 경로로 활용했습니다.즉, 이번 공격은 ‘AI 개발 환경 자체에 내재된 신뢰 흐름’을 노렸다는 점에서 공격자가 AI도 공격표면으로 활용하는 점이 특징입니다. 공격 개요 이번 캠페인에서 확인된 악성 패키지는 크게 두..

스틸러·RAT·랜섬웨어를 결합한 복합 위협 악성코드 분석 - MoscowTeam_Steal

최근 스틸러(Stealer), 원격 제어(RAT), 랜섬웨어(Ransomware) 기능을 하나의 바이너리에 통합한 복합형 악성코드가 발견되었습니다. 해당 악성파일 내부에는 "MoscowTeam_Steal"이라는 자체 워터마크가 포함되어 있으며, 아직 공개된 위협 인텔리전스 데이터베이스에 등록되지 않은 미공개 맞춤형(Custom) 악성코드로 확인되었습니다. 감염된 PC의 계정 정보 및 암호화폐 지갑 탈취부터 파일 암호화까지 자동으로 수행하는 정교한 공격 구조를 갖추고 있어 각별한 주의가 필요합니다. 공격 흐름 전체 공격은 드로퍼 실행 → 데이터 탈취 → 봇넷 등록 및 파일 암호화 순서로 자동 진행되며, 실행 후 시스템 정보 탈취와 암호화가 모두 완료됩니다. 1) 드로퍼 실행 - 파일리스 로딩 (File..

TikTok 동영상 다운로더로 위장한 악성 크롬 확장 프로그램 주의

크롬(Chrome) 웹스토어에 정식 등록된 TikTok 동영상 다운로드 확장 프로그램 내부에 악성 기능이 숨겨져 있는 것으로 확인되었습니다. 해당 확장 프로그램은 “TikTok Video Downloader”, “TikTok 동영상 대량 다운로더" 라는 이름으로 배포 중이며, 표면적으로는 TikTok 영상 다운로드 기능을 제공하지만 내부에 원격 C2 서버 통신, 사용자 정보 전송, 브라우저 탭 리디렉션 등의 악성 기능이 숨겨져 있습니다. 악성 기능 상세 분석 1. 사용자 정보 전송해당 확장 프로그램이 설치되면, 브라우저 환경 정보(OS, 브라우저 버전, 언어 설정) 및 기기 고유 식별자를 외부로 전송합니다.전송되는 정보는 다음과 같습니다. 수집정보내용추적 ID (usr)설치 시각이 인코딩된 기기 고유 ..

국세청 및 금융기관 사칭, PhaaS를 이용한 기업 타겟형 피싱메일 주의

이스트시큐리티 대응센터(ESRC)에서 운영 중인 TDS(Threat Detection System) 이메일 모니터링 시스템을 통해 국내 주요 산업군 기업을 겨냥한 피싱 공격이 포착되었습니다. 공격자는 국세청 전자세금계산서 및 하나은행 보안메일을 정교하게 사칭하여, 피해자의 계정 정보 탈취를 시도하고 있으며, 특히 이번 공격은 PhaaS(서비스형 피싱 공격, Phishing-as-a-Service) 플랫폼이 사용된 것으로 추정되어 각별한 주의가 필요합니다. 공격 개요 및 유입 경로 이번 공격은 2026년 4~5월을 전후하여 자동차 부품 제조, 반도체/화학 소재, IT/광통신 장비, 의료기기/바이오, IT 서비스/SW 등 다양한 산업군의 국내 기업 실무자를 표적으로 삼았습니다. 공격자는 [메일 수신 → H..

Wildcard DNS 기법을 악용한 급여명세서 위장 피싱 메일 주의

이스트시큐리티 대응센터(ESRC)에서 운영 중인 TDS(Threat Detection System) 이메일 모니터링 시스템에서 최근 급여명세서로 위장한 피싱 메일이 유포 중인 것으로 확인되었습니다.해당 피싱 메일은 Wildcard DNS 기법을 활용하여 URL 차단을 교묘히 우회하는 것이 특징으로, 기존 보안 솔루션의 탐지를 어렵게 만드는 정교한 공격입니다. 공격 개요 이번 피싱 메일은 '[Re]: Payroll Reports for week 2 ending, Sun, 19 Apr 2026 13:24:05 -0700' 라는 제목으로 유포되었으며, [Re]: 접두사를 붙여 마치 기존에 주고받은 대화의 답장인 것처럼 위장했습니다. 또한 수신자에게 '중요도가 높은 메시지'로 표시되도록 이메일 헤더를 조작..

GitLab 플랫폼을 이용한 Kimsuky 공격 사례

이스트시큐리티 대응센터(ESRC)에서 운영 중인 APT TDS(Threat Detection System)에서는 최근 이력서 및 대북 정책 문서로 위장한 악성 LNK(바로가기) 파일의 유포 정황을 포착했습니다. TDS에서 탐지된 악성 LNK 파일은 총 2종으로, 각각 구직자의 자기소개서와 북한 관련 정책 문서로 위장하고 있습니다.이소연 자기소개서.pdf.lnk2df24d850d6a50410e6503bc449a61778e5e88722ea4e20e198ea61e45a6903e.lnk 분석 결과 해당 LNK 파일은 북 배후 공격그룹인 김수키(Kimsuky) 그룹의 전형적인 LNK 기반 공격방식을 따르고 있어 이번 공격 역시 해당 그룹의 소행으로 판단됩니다. 다만 C2 서버로 깃허브(GitHub)를 활용..

국세청 세무조사 사칭 피싱 메일을 통해 유포 중인 백도어 악성코드

최근 국세청 세무조사를 사칭한 피싱 메일을 통해 악성코드가 유포 중인 것으로 확인되었습니다. 공격자는 피싱 메일 내 악성 링크를 통해 국세청 세무조사 통지 화면으로 위장한 피싱 사이트로 접속하게 한 뒤 해당 페이지에서 악성파일을 다운로드하도록 유도합니다. 개요 및 유입 경로 최근 기업 담당자를 대상으로 ‘국세청 세무조사 통지’를 사칭한 피싱 메일이 유포되었습니다. 사용자가 메일 내 링크를 클릭하면 국세청을 사칭한 피싱 사이로 연결되며, 세무조사 안내 문구와 함께 [조사 명단 다운로드] 버튼을 노출하여 클릭을 유도하는 방식입니다. 버튼 클릭 시 ‘기업 조사 명단’.zip’ 파일이 다운로드 되며, 압축 파일 내에는 다음과 같은 3개의 파일이 존재합니다. 기업 조사 명단.exe: 정상 서명된 Intel 그..

베트남 위협행위자의 PyChain 캠페인 : 저작권 경고 이메일로 시작한 글로벌 피싱의 기술적 진화

“귀하의 저작권 침해가 확인되었습니다.” 한 줄로 시작되는 이메일이 최근 기업 담당자들의 수신함에 자주 들어오고 있습니다. 겉으로는 법적 경고처럼 보이지만, 실제로는 피싱 공격의 출발점입니다. 이스트시큐리티 대응센터(ESRC)는 이 캠페인을 1년 넘게 추적해 왔으며, 그 과정에서 공격 방식이 여러 단계로 바뀌는 것을 확인했습니다. 초기에는 GitHub, Dropbox 같은 신뢰받는 서비스를 이용해 악성 모듈을 내려받는 방식으로 시작되었지만, 이후 정상 서명된 실행 파일을 이용한 DLL 사이드로딩, Telegram Bot과 URL 단축 서비스, paste 사이트를 거치는 다단계 페이로드 체인이 등장했습니다. 유포 주제도 저작권 및 법률 내용에서 비즈니스 제안, 채용, AI 영상 도구 등으로 넓어졌고, 한국..

가짜 FileZilla 사이트를 이용한 악성코드 유포

최근 오픈소스 FTP 클라이언트인 FileZilla의 공식사이트를 위장한 가짜 웹사이트를 통해 악성코드를 유포하는 공격이 확인되었습니다.공격자는 정상 FileZilla 프로그램에 악성 DLL 파일을 포함하여 배포하였으며, 이로 인해 사용자가 프로그램을 실행할 경우 정상적인 동작과 더불어 악성코드가 함께 실행되는 방식입니다. 유포 방식 및 공격 흐름 공격자는 FileZilla 공식 사이트의 디자인을 정교하게 복제한 가짜 웹사이트를 운영하며, 악성 DLL 파일이 포함된 설치 파일을 배포했습니다. 분석 과정에서 확인된 샘플은 배포 형태에 따라 두 가지 유형으로 구분됩니다.Case1 – 악성 DLL 파일이 포함된 압축파일초기 공격에서는 FileZilla 3.69.5 Portable 버전에 악성 DLL(vers..