최근 우체국을 사칭한 배송 지연 안내 메일을 통해 개인정보 및 금융 정보를 탈취하고 소액 결제까지 유도하는 피싱 메일이 유포되고 있어 사용자분들의 각별한 주의가 필요합니다. 피싱 메일은 ‘[조치필요] 세금 미납으로 배송 중지 (운송장번호 K541472056KR)’ 라는 제목으로 발송 되었으며, 우체국에서 발송된 메일로 위장하기 위해 실제 우체국 고객센터 번호가 기재되어 있습니다. 본문에는 배송 중지 상태를 안내하며 사용자로 하여금 정상 배송을 위해 ‘세금 납부 및 배송 재개’ 링크를 클릭하도록 유인합니다. 사용자가 우체국 메일로 오인하여 해당 링크를 클릭하게 되면 우체국 배송조회 사이트로 위장한 피싱 페이지로 연결되며, 우체국에서 도착한 메시지 확인을 안내합니다.메시지 확인 시 송장번호로 배송 상..

악성코드 분석 리포트 2025. 5. 16. 13:49

유효한 정상 인증서가 포함된 악성코드가 발견되어 사용자분들의 각별한 주의가 필요합니다. 해당 악성 파일은 국내 유명 기업의 정상 인증서로 서명되어 있어 탐지 회피를 노렸으며, SCR 포맷의 실행 파일이지만 PDF 파일처럼 보이도록 아이콘이 조작되어 있습니다. 악성파일이 실행되면 파일 내부에서 PDF 파일을 추출하여 %TEMP% 폴더에 생성한 뒤 CMD 명령어를 이용해 실행합니다. 생성된 PDF 파일은 사용자의 주의를 끌기 위한 미끼 파일이며, 이로 인해 사용자는 감염 사실을 인지하기 어렵습니다. 이후 다시 config.dat 파일을 추출하여 %Public% 폴더에 생성하고 파일 생성이 완료되면 자가 삭제됩니다. 생성된 config.dat 파일은 악성 DLL 파일로 rundll32.exe 파일을..

악성코드 분석 리포트 2025. 5. 15. 11:04

최근, 지난 포스팅에서 소개했던 저작권 위반 피싱 메일이 메일 본문 내용과 내부 악성코드를 변경하면서 지속적으로 유포되고 있어 사용자분들의 각별한 주의가 필요합니다. 저작권 위반 관련 내용의 피싱 메일을 통해 유포되는 악성코드 주의! 이번에 발견된 피싱 메일은 국내 법무법인을 사칭하여 발송되었으며, 메일 본문 내 삽입된 ‘증거자료. PDF’ 링크 클릭을 유도합니다. 2개의 피싱 메일 모두 PDF 링크 클릭 시 단축URL을 통해 MediaFire 라는 클라우드 서비스 사이트로 접속하여 다음과 같은 압축파일이 다운로드 됩니다. ‘조사 결론을 뒷받침하는 확실한 증거.zip’ ‘지적재산권 침해 수사를 위한 증거 자료.zip’ 이때 사용자 PC의 기본 브라우저가 엣지가 아닌 경우, 엣지 브라우저 ..

악성코드 분석 리포트 2025. 5. 14. 11:51

최근 글로벌 운송사의 배송 물품 파손 보고서를 위장한 피싱 메일을 통해 악성코드가 유포되고 있어 사용자분들의 각별한 주의가 필요합니다. 메일 본문에는 사용자가 발송한 물품이 배송 중 손상되어 파손 상태를 기록한 “물품 파손 보고서”를 첨부하였으니 확인해달라는 내용으로 첨부파일 실행을 유도합니다. 첨부파일은 7Z 포맷의 압축파일로 내부에 VBS 스크립트 파일이 포함되어 있습니다. 해당 파일은 이중 확장자를 사용하여 파일 확장명 보기 옵션이 비활성화된 환경에서는 마치 PDF 파일처럼 보이도록 위장되어 있습니다. VBS 스크립트 파일은 주석 사이에 호출할 파워쉘 명령어를 섞어 만든 소스코드 난독화로 구성되어 있습니다. 사용자가 이를 PDF 파일로 오인하여 실행할 경우, 파워쉘 명령어가 동작하게 됩니다..

악성코드 분석 리포트 2025. 4. 21. 16:53

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.  현재 기고 중인 국방 분야 학술논문으로 위장하여 RokRAT 악성코드를 유포하는 공격이 발견되어 관련자 분들의 각별한 주의가 필요합니다. 학술 논문으로 위장한 악성 파일은 LNK (바로가기) 파일로 내부에 파워쉘 코드가 포함되어 있습니다.   LNK 파일이 실행되면, 파워쉘 명령어를 통해 LNK 파일에 내장된 여러 파일이 추출 및 생성됩니다. 이 과정에서 LNK 파일과 동일한 경로에 디코이 PDF 파일이 생성되며, %TEMP% 폴더에는 toy01.dat, toy02.dat, toy03.bat 파일이 생성됩니다. 파일명 오프셋 사이즈 행위 (LNK파일명).pdf0x000010E40x2A7965디코이 파일toy01.dat0x002A8A4..

악성코드 분석 리포트 2025. 3. 27. 15:19

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.ESRC에서는 지난해 하반기부터 SVG 포맷의 악성코드가 유포되는 공격들을 모니터링하던 중 최근 국내 기업을 대상으로 해당 공격이 진행된 정황을 포착하였습니다. 해당 공격은 글로벌 해운 업체의 선적물 안내 메일로 위장한 피싱 메일을 통해 유포되었으며, 메일 내 첨부파일 형태로 SVG 포맷의 악성코드가 존재합니다. SVG 포맷은 벡터 기반의 이미지 파일 형식으로 웹 디자인과 UI 개발에서 많이 활용되는 파일 형식입니다. XML 기반으로 작성되며, 내부에 JavaScript와 CSS를 사용할 수 있는 특징과 일반적으로 이미지 파일로 인식되어 보안 프로그램에서 악성코드로 인식하기 어렵다는 점을 악용하여 공격자들이 악성코드 유포 수단으로 사용하고 ..

악성코드 분석 리포트 2025. 3. 13. 17:58

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.  국내 기관에서 개최하는 통일 분야 교육 프로그램 지원서 파일을 이용한 워터링 홀 공격이 발견되어 관련자분들의 각별한 주의가 필요합니다.   워터링 홀 공격이란?공격 대상이 자주 방문하는 웹사이트에 미리 악성코드를 심어두고, 대상이 접속할 때를 기다렸다가 감염시키는 공격 기법입니다. 해당 방법은 특정 웹사이트를 방문하는 대상을 노려 효율적으로 감염시킬 수 있다는 점에서 위험성이 높습니다.  이번 공격은 통일 분야 교육 프로그램 수강생을 모집하기 위해 작성된 공지 게시글에 악성 지원서 문서 파일을 업로드하여, 교육 수강 신청을 위해 사이트를 방문한 사용자가 지원서 파일을 다운로드 및 실행하여 악성 파일이 감염되는 방식을 사용하고 있습니다. ..

악성코드 분석 리포트 2025. 3. 7. 09:23

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 텔레그램 계정탈취를 목적으로 하는 스미싱이 지속적으로 유포되고 있어 사용자들의 각별한 주의가 필요합니다. 스미싱 문자는 다음과 같은 내용들과 함께 피싱 링크가 포함된 형태로 유포됩니다.  [국외발신]telegram계정보안활동이발견됩니다. 계정보완을위해, 다시로그인하세요  피싱링크[국외발신] Telegram정책상 탈퇴예정이니 6시간내 인증바랍니다. 피싱링크 Telegram정책상 탈퇴예정이니 6시간내 인증바랍니다. 피싱링크 [국외발신] Telegram정책에따라 탈퇴될 예정이니 6시간이내 인증을 완료바랍니다. 피싱링크 해외기기의 로그인 접촉. 홈페이지 접속후 재연동해주세요  피싱링크스미싱 문자의 내용과 형식은 조금씩 다르지만, 공통적으로 사용자..

악성코드 분석 리포트 2025. 2. 18. 10:16