안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
상반기, 클롭 랜섬웨어를 국내 기업에 대량으로 유포한 이후 지금까지 꾸준히 국내 기업들을 상대로 사이버 공격을 진행하고 있는 TA505조직이 공격을 재개하였습니다.
어제(17일)부터 재개된 TA505 조직의 공격은 금일(18일)까지 이어지고 있습니다.
금일 발생한 공격들의 특징은 오전 10시 이전에 이메일을 발송하였으며, 일부의 경우 10월 급여명세서라는 제목으로 유포하므로써 감염률을 높이려고 시도하였습니다.
[그림1] 견적서로 위장한 악성 메일
[그림 2] 급여명세서로 위장한 악성메일 및 악성파일 실행 과정
공격 방식은 어제와 동일하게 악성 매크로가 포함된 xls 파일이 첨부되어 있거나 악성 Onedrive 링크가 포함되어 있으며, 사용자가 악성 파일이나 링크를 클릭할 경우 악성 모듈이 로딩되며 사용자 PC 정보를 수집하게 됩니다.
현재 알약에서는 해당 악성코드들에 대해 Trojan.Agent.282624T 등으로 탐지중에 있으며, 지속적인 변종에 대해서도 대응중에 있습니다.
※ 관련글 바로가기
▶ TA505조직, 악성 이메일을 활용해 한국 공격 재개 (2019.10.17)
▶ TA505조직, 스캔파일로 위장한 악성메일 대량 유포중! (2019.08.09)
▶ TA505 조직, 국내 항공사 전자항공권 사칭 해킹 메일 유포 주의 (2019.07.25)
▶ TA505 그룹, 송금증 내용을 위장한 악성 피싱메일 대량 유포 중! (2019. 06. 20)
▶ TA505 그룹, 거래내역서, 견적서, 영수증 등으로 사칭해 Ammyy RAT 유포 (2019.06.03)
▶ TA505 그룹, 국세청 홈택스 사칭해 악성 메일 대량 유포 중! (2019.05.30)
▶ TA505 그룹, 국세청 사칭해 악성 메일 대량 유포 중! (2019.05.28)
▶ TA505, 반출 신고서, 출근부 등을 위장한 새로운 악성 파일 유포중! (2019.05.21)
▶ TA505조직, 다양한 피싱 메일 형태로 악성 설치파일 유포 주의! (2019.05.16)
▶ TA505조직, 또다시 엑셀 문서로 위장한 악성 이메일 유포해 (2019.05.08)
▶ TA505 조직, 요청자료 엑셀문서처럼 위장해 한국에 악성 이메일 유포 중 (2019.05.02)
▶ 클롭(Clop) 랜섬웨어 유포 조직이 진행하는 기업 타깃 대량공격 주의! (2019.04.24)
Trojan.Android.InfoStealer 악성코드 분석 보고서 (0) | 2019.10.22 |
---|---|
Trojan.Ransom.Nemty 악성코드 분석 보고서 (0) | 2019.10.21 |
TA505조직, 악성 이메일을 활용해 한국 공격 재개 (1) | 2019.10.17 |
김수키(Kimsuky) 조직 소행 추정 ‘대북 분야 국책연구기관’ 사칭 스피어피싱 공격 발견 (0) | 2019.10.17 |
비너스락커, 공정거래위원회 사칭하여 Nemty 랜섬웨어 V1.6 유포 주의! (0) | 2019.10.10 |
댓글 영역