포스팅 내용

악성코드 분석 리포트

지속적으로 증가하고 있는 TA505 조직의 사이버 공격 주의!


안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


상반기, 클롭 랜섬웨어를 국내 기업에 대량으로 유포한 이후 지금까지 꾸준히 국내 기업들을 상대로 사이버 공격을 진행하고 있는 TA505조직이 공격을 재개하였습니다. 


어제(17일)부터 재개된 TA505 조직의 공격은 금일(18일)까지 이어지고 있습니다. 



금일 발생한 공격들의  특징은 오전 10시 이전에 이메일을 발송하였으며, 일부의 경우 10월 급여명세서라는 제목으로 유포하므로써 감염률을 높이려고 시도하였습니다. 


[그림1] 견적서로 위장한 악성 메일



[그림 2] 급여명세서로 위장한 악성메일 및 악성파일 실행 과정


공격 방식은 어제와 동일하게 악성 매크로가 포함된 xls 파일이 첨부되어 있거나 악성 Onedrive 링크가 포함되어 있으며, 사용자가 악성 파일이나 링크를 클릭할 경우 악성 모듈이 로딩되며 사용자 PC 정보를 수집하게 됩니다. 


현재 알약에서는 해당 악성코드들에 대해 Trojan.Agent.282624T 등으로 탐지중에 있으며, 지속적인 변종에 대해서도 대응중에 있습니다. 









티스토리 방명록 작성
name password homepage