안녕하세요?이스트시큐리티 시큐리티 대응센터(이하 ESRC)입니다. 2019년 7월 30일, 국내 DRM/문서보안업체의 유효한 디지털서명이 탑재된 악성코드가 URL을 통해 유포되고 있는 것이 확인되어 주의가 필요합니다. 이번에 포착된 악성코드의 경우, 일단 감염이 이뤄지게 되면 스케쥴러에 Jav Maintenance64라는 이름으로 자기자신을 등록하고 매일 주기적으로 재실행이 이뤄지도록 설정하는 봇을 설치합니다. 공격자는 봇에 감염된 PC에 임의의 추가 악성행위를 수행할 수 있게 됩니다. 이번 악성코드는 국내 보안업체의 디지털서명을 악용한 것이 가장 주목할 만한 부분이라고 할 수 있습니다. 디지털서명이 있는 모듈은 일반적으로 해당업체의 서명이 포함된 위변조되지 않은 무결성을 가진 프로그램이라고 인식하기 때..

악성코드 분석 리포트 2019. 7. 30. 18:55

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 브라질에서 모바일 워너크라이 랜섬웨어가 진화하여 다시 등장했습니다. 랜섬웨어로서의 기능뿐만 아니라 정보 탈취 기능과 원격 조종 등이 추가됐습니다. 한편, 한국에서는 랜섬웨어 기능은 빠져 있지만 원격 조종 코드 부분이 동일한 악성 앱이 등장했습니다. 해당 앱은 원격 조종을 통해서 문자 정보, 주소록 등의 개인 정보와 20가지 이상의 기기정보를 탈취합니다.특히, 해당 앱은 분석을 어렵게 하기 위해서 중국 Tencent사의 패킹을 적용하였습니다. 본 분석 보고서에서는 'Trojan.Android.Agent'를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 패킹 분석 1-1. 패킹 특징중국 Tencent사의 패킹이 적용된 앱의 매니페스트 [그..

악성코드 분석 리포트 2019. 7. 29. 08:30

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 어벤져스 엔드게임 영화 토렌트 파일로 위장한 악성 파일이 발견되었습니다. 파일명은 ‘Avengers Endgame.2019-1080p.FHDRip.H264.AAC-RTM rcs.torrent’(이하 ‘Trojan.MSIL.Bladabindi’)로 토렌트 파일처럼 보이지만 실제로는 악성 행위를 하는 실행 파일입니다. 최초 악성 파일은 패킹 및 난독화되어 있으며, 50여개의 다양한 명령 제어 기능을 가지고 있는 점이 특징입니다. 따라서, 악성코드에 감염될 경우 공격자의 명령에 따라 추가 악성 행위를 시도하거나 2차 피해가 발생할 수 있으므로 사용자의 주의가 필요합니다. 본 보고서에서는 ‘Trojan.MSIL.Bladabindi’ 악성코드..

악성코드 분석 리포트 2019. 7. 26. 14:53

안녕하세요.? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2019년 7월 24일, 견적 문의로 위장하고 악성 파일을 첨부한 피싱메일이 발견되었습니다. 피싱 메일에 첨부된 대용량 파일은 "문의해요.egg"라는 이름으로 유포되었으며, 메일 본문에 "확인좀 바랍나다"라는 문구로 급하게 일처리가 필요한 것처럼 꾸몄습니다. [그림 1] 견적 문의 메일로 위장한 피싱 메일 견적 문의로 오해한 사용자가 첨부된 EGG 파일을 다운로드하면 해당 파일 안에는 아래와 같은 악성 EXE 파일이 들어 있습니다. 또한 "정선애"라는 발신자명을 사용한 것이 특징입니다. [그림 2] "문의해요.egg" 압축 파일 안의 악성 실행 파일 압축 파일을 해제해 보면, 실제 악성 파일 확장자는 EXE 실행 파일이지만 파일 아이콘을..

악성코드 분석 리포트 2019. 7. 26. 10:48

안녕하세요?이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 하계 휴가 시즌을 앞둔, 7월 25일 아침부터 국내 항공사의 전자항공권(e-ticket) 확인증으로 위장한 해킹 이메일이 다수 유포되고 있어 각별한 주의가 필요합니다. [그림1] 국내 항공사의 전자항공권 확인증으로 위장한 메일 공격자는 '**항공 e-티켓 확인증입니다.' 이라는 메일 제목으로 사용자를 현혹하고 있으며, 이메일 내용 본문에서도 정교한 한국어를 사용하여, 메일 수신자로 하여금 첨부파일을 열어보도록 유도합니다. 첨부파일에는 'e-ticket 확인증_(랜덤숫자).iso' 파일명의 압축파일이 첨부되어 있으며, 압축 해제시 아이콘과 확장자명을 PDF문서로 위장한 스크린세이버 파일 'e-ticket 확인증_66016630.pdf.scr'..

악성코드 분석 리포트 2019. 7. 25. 15:41

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 어제 오후 특정 회사를 타깃으로 한 스피어피싱 공격이 포착되었습니다. 해당 메일은 계정 유효성 검사를 사칭하여 유포되었으며, "이메일 주소 유효성 확인"에는 특정 계정의 정보를 탈취하기 위한 링크가 삽입되어 있습니다. [그림 1] 계정 유효성 검사 사칭 스피어피싱 공격 메일 만약 해당 스피어피싱 타깃이 해당 메일의 계정 유효성 검사 대상이 본인의 회사 계정으로 착각해 "이메일 주소 유효성 확인"을 클릭한다면 아래와 같이 회사 로그인 페이지를 위장한 피싱 페이지를 확인하실 수 있습니다. [그림 2] 회사 로그인 페이지를 위장한 피싱 페이지 피싱 페이지의 "Username" 란에는 이미 공격자의 타깃 이메일 주소가 설정되어 있으며 타깃 사용자가 이..

악성코드 분석 리포트 2019. 7. 23. 09:56

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 납품 견적 의뢰 건을 사칭한 악성 메일이 유포되고 있어 이용자들의 주의를 당부드립니다. 해당 메일은 국문 및 영문으로 유포되었으며, 첨부파일로 ACE, RAR, ZIP 파일의 압축파일을 첨부한 것이 특징입니다. [그림 1] 납품 견적 의뢰 건을 사칭한 악성 메일(국문) [그림 2] 납품 견적 의뢰 건을 사칭한 악성 메일(영문) 두 메일을 비교해 보면, 메일 제목이나 첨부파일 형식이 동일하며 먼저 영문으로 납품 견적 의뢰 건을 사칭한 악성 메일이 유포된 후, 하루 차이로 국문 메일이 포착되었습니다. 또한 메일 분석 결과, 해당 악성 메일을 유포한 제작자가 '소재헌', 'Shinhwa Construction Co., Ltd'로 동일해, 같은 ..

악성코드 분석 리포트 2019. 7. 22. 14:28

암호화폐 거래소 회원 겨냥한 해킹 이메일 공격 지속… ‘라자루스’ 조직 소행 추정 안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. ESRC는 19일, 국내 특정 암호화폐 거래소 회원들을 대상으로 한 이메일 해킹 공격 시도가 지속적으로 포착되고 있음을 발견했습니다. [그림 1] 스피어 피싱 공격에 사용된 이메일 화면 File Name MD5 제복인 경찰대학 예상 문제 3회.hwp c577849fed8f815ffb53163976aca001 회장님 개명.hwp cadd2b04166499db6065128f4dc97c39 중고폰매각 공고문_19년 7차.hwp 7d1d7ffee0e2f2778dc6e941bcafbd08 이 이메일 해킹 공격은 지난 6월 경부터 국내에서 지속적으로 발생하고 있으며, ..

악성코드 분석 리포트 2019. 7. 19. 11:49