최근 국세청 세무조사를 사칭한 피싱 메일을 통해 악성코드가 유포 중인 것으로 확인되었습니다. 공격자는 피싱 메일 내 악성 링크를 통해 국세청 세무조사 통지 화면으로 위장한 피싱 사이트로 접속하게 한 뒤 해당 페이지에서 악성파일을 다운로드하도록 유도합니다. 개요 및 유입 경로 최근 기업 담당자를 대상으로 ‘국세청 세무조사 통지’를 사칭한 피싱 메일이 유포되었습니다. 사용자가 메일 내 링크를 클릭하면 국세청을 사칭한 피싱 사이로 연결되며, 세무조사 안내 문구와 함께 [조사 명단 다운로드] 버튼을 노출하여 클릭을 유도하는 방식입니다. 버튼 클릭 시 ‘기업 조사 명단’.zip’ 파일이 다운로드 되며, 압축 파일 내에는 다음과 같은 3개의 파일이 존재합니다. 기업 조사 명단.exe: 정상 서명된 Intel 그..

악성코드 분석 리포트 2026. 3. 24. 19:01

“귀하의 저작권 침해가 확인되었습니다.” 한 줄로 시작되는 이메일이 최근 기업 담당자들의 수신함에 자주 들어오고 있습니다. 겉으로는 법적 경고처럼 보이지만, 실제로는 피싱 공격의 출발점입니다. 이스트시큐리티 대응센터(ESRC)는 이 캠페인을 1년 넘게 추적해 왔으며, 그 과정에서 공격 방식이 여러 단계로 바뀌는 것을 확인했습니다. 초기에는 GitHub, Dropbox 같은 신뢰받는 서비스를 이용해 악성 모듈을 내려받는 방식으로 시작되었지만, 이후 정상 서명된 실행 파일을 이용한 DLL 사이드로딩, Telegram Bot과 URL 단축 서비스, paste 사이트를 거치는 다단계 페이로드 체인이 등장했습니다. 유포 주제도 저작권 및 법률 내용에서 비즈니스 제안, 채용, AI 영상 도구 등으로 넓어졌고, 한국..

악성코드 분석 리포트 2026. 3. 17. 10:54

최근 오픈소스 FTP 클라이언트인 FileZilla의 공식사이트를 위장한 가짜 웹사이트를 통해 악성코드를 유포하는 공격이 확인되었습니다.공격자는 정상 FileZilla 프로그램에 악성 DLL 파일을 포함하여 배포하였으며, 이로 인해 사용자가 프로그램을 실행할 경우 정상적인 동작과 더불어 악성코드가 함께 실행되는 방식입니다. 유포 방식 및 공격 흐름 공격자는 FileZilla 공식 사이트의 디자인을 정교하게 복제한 가짜 웹사이트를 운영하며, 악성 DLL 파일이 포함된 설치 파일을 배포했습니다. 분석 과정에서 확인된 샘플은 배포 형태에 따라 두 가지 유형으로 구분됩니다.Case1 – 악성 DLL 파일이 포함된 압축파일초기 공격에서는 FileZilla 3.69.5 Portable 버전에 악성 DLL(vers..

악성코드 분석 리포트 2026. 3. 13. 14:38

최근 이스트시큐리티 대응센터(ESRC)에서 운영 중인 APT TDS(Threat Detection System)를 통해, 네이버웍스 사용자를 겨냥한 고도화된 피싱 공격이 포착되었습니다. 이번 공격은 단순 유포형 피싱을 넘어 기업의 메일 환경을 식별하는 정밀함을 보이고 있으며, 현재 TDS에 기록된 실시간 탐지 데이타와 연관정보를 토대로 해당 피싱 공격에 대해 분석한 내용을 공유해 드립니다. 1. 피싱 메일 및 유포 방식 피싱 메일은 '[공문/필수]2027년 고용노동부 노동정책 포럼 자료 제출 요청' 이라는 제목으로 유포되었습니다.사회공학적 기법: 메일 본문에 고용노동부(MOEL) 및 공식 협력사를 사칭한 법적 근거와 참조 코드를 명시하여 사용자의 의심을 피합니다. HTML 첨부파일: '2027년_고용..

악성코드 분석 리포트 2026. 2. 6. 15:37

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. KimJongRAT은 북한 배후로 추정되는 Kimsuky 그룹과 연관된 것으로 알려진 원격 액세스 트로이 목마(RAT) 로, 최근 .hta 파일을 통해 KimJongRAT이 유포되고 있는 것을 확인하였습니다. 이번에 발견된 파일은 국세 고지서.pdf(tax_notice).zip 파일명으로 유포되었으며, 피싱 메일을 통해 최초 유포된 것으로 추정되고 있습니다. 국세 고지서.pdf(tax_notice).zip 내에는 국세고지서.pdf 파일을 위장한 lnk 파일이 포함되어 있습니다. 사용자가 해당 lnk 파일을 실행하면, 내부에 Base64로 인코딩된 URL 값을 복호화한 뒤 mshta를 사용해 해당 링크에 접속하고, 이후 추가 페이로..

악성코드 분석 리포트 2025. 11. 28. 15:37

최근 민생회복 소비쿠폰(민생회복지원금) 2차 지급을 앞두고 과거 국민지원금 스미싱 수법을 재활용한 스미싱이 유포 중인 것으로 확인되어 사용자분들의 각별한 주의가 필요합니다. 스미싱 문자에는 국민지원금 대상자에 해당되므로 온라인센터에서 신청하라는 문구와 함께 악성 링크가 포함되어 있습니다. 국민지원금 신청대상자에 해당되므로 온라인센터에서 신청하시기 바랍니다. hxxps://gov.aszt.pw 사용자가 해당 링크를 클릭하게 되면 정부24 사이트를 위장한 피싱 페이지로 접속되며, [맞춤 혜택 조회하기]버튼 클릭시 apk 파일 다운로드 및 앱 설치를 유도합니다. 해당 악성 앱은 설치 과정에서 특별한 권한이 필요하지 않은 것처럼 안내하지만, 실제로는 앱 실행 시 사용자 기기 내 정보 수집과 외부 서버와..

악성코드 분석 리포트 2025. 8. 25. 16:41

국내 유명 언론사의 직원으로 위장하여 비영리 민간 정책 연구소 소속의 특정인을 타깃으로 한 스피어 피싱 공격이 발견되어 주의가 필요합니다. 이번 공격은 국내 언론사로부터 칼럼 작성 요청을 받은 피해자가 원고를 제출한 후, 언론사 담당자를 사칭한 회신 메일에 악성코드가 첨부되어 전달되는 방식으로 이루어졌습니다. 공격자는 정상적인 업무 메일 흐름을 악용해 피해자의 신뢰를 얻고, 악성 파일을 실행하도록 유도한 것으로 분석됩니다. 이메일 본문에는 대용량 첨부파일 형태의 다운로드 링크가 포함되어 있으며, 피해자가 이를 클릭할 경우 ZIP 포맷의 압축 파일이 다운로드 됩니다. 공격자는 탐지 회피를 위해 국내 포털사이트 메일 서비스에서 제공하는 대용량 첨부파일 링크를 활용하였고, 압축 파일에 암호를 설정하..

악성코드 분석 리포트 2025. 8. 7. 17:12

최근 발견된 피싱 이메일에서 정상 CDN서비스에 호스팅 된 악성 NPM 패키지를 통해 피싱 페이지를 로딩하는 새로운 방식의 피싱 공격이 확인되었습니다. 해당 피싱 공격은 악성 HTML 파일이 첨부된 이메일을 통해 유포되었으며, 사용자에게 OneDrive로 공유한 주문서 확인을 요청하며 첨부파일 실행을 유도합니다. 사용자가 첨부된 HTML 파일을 실행하면 내부 코드를 통해 jsDelivr CDN에 호스팅 된 악성 NPM 패키지의 JavaScript 파일을 불러와 실행합니다. NPM 패키지는 "Node Package Manager"의 약자로, Node.js 환경에서 자바스크립트 패키지를 관리하고 설치하는 도구이며, jsDelivr CDN은 이러한 NPM 패키지와 GitHub 등 오픈 소스 파일을 무..

악성코드 분석 리포트 2025. 7. 23. 17:54