안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 비트코인을 비롯한 암호화폐의 가격이 전반적으로 상승세에 있습니다. 이런 암호화폐의 가격 상승에 발맞추어 관련 악성코드가 증가 추세를 보이고 있습니다. 모바일 기기를 타겟으로 하는 암호화폐 악성앱은 크게 3가지로 분류할 수 있습니다. 첫번째는 클리퍼로 피해자의 클립보드를 감시하다가 암호화폐의 지갑주소가 감지 되면 이를 공격자의 지갑주소로 변경하는 공격을 수행 합니다. 두번째는 월렛으로 위장하는 악성앱입니다. 월렛은 암호화폐를 저장하는 지갑이며 악성앱은 이런 월렛으로 위장하여 유포됩니다. 월렛으로 위장한 악성앱을 설치한 피해자가 자신의 지갑 주소 생성을 시도하면 공격자의 지갑 주소를 반환합니다. 이를 모르는 피해자가 공격자의 지갑으로 암..

악성코드 분석 리포트 2019. 7. 4. 18:35

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 7월 3일) 개인정보 수집을 위해 서울중앙지방검찰청 사이트로 위장 된 피싱사이트가 발견되어 사용자들의 각별한 주의가 필요합니다. 이번에 발견 된 피싱사이트는 접속 한 사용자가 자신의 사건을 조회할 때 필요한 개인정보를 탈취하기 위해 제작되었습니다. * 서울중앙지방검찰청이란? 서울중앙지방법원에 대응하여 각종 범죄에 대한 수사와 집행 같은 행정적인 지원업무를 도와주는 특별지방행정기관입니다. 접속한 사용자가 "나의 사건 조회"를 클릭하게 되면 개인정보 탈취를 위해 제작 된 다른 사이트로 이동하게 됩니다. [그림 1] 서울중앙지방검찰청 피싱 사이트 화면 사용자의 실명확인을 위해 이름과 주민번호를 입력하면 피싱 사이트 제작자가 미리 만둘..

악성코드 분석 리포트 2019. 7. 4. 15:05

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 한국을 공격 대상으로 활동하는 대표적인 APT 그룹인, 라자루스(Lazarus), 김수키(Kimsuky), 금성121(Geumseong121) 조직의 움직임이 최근 연속적으로 발생하고 있습니다. 금일, '금성121' 조직이 정치·통일·안보 관련 분야를 겨냥한 공격이 포착된 것에 이어 '라자루스' 그룹으로 분류된 APT 캠페인도 식별되었습니다. '라자루스' 시리즈로 수행된 공격은 얼마전 있었던 【라자루스(Lazarus) APT 조직, 텔레그램 메신저로 '진실겜.xls' 악성 파일 공격】 사례와 마찬가지로 암호화폐 거래 관계자를 노렸습니다. 이번 공격은 2019년 06월 27일 오전 10시경부터 여러 사람들에게 유포되었고, 일부는 과거 특정 ..

악성코드 분석 리포트 2019. 7. 2. 21:59

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2019년 07월 02일 안보관련 연구위원이 작성한 문서처럼 사칭해 APT(지능형지속위협) 공격이 수행된 정황을 포착했습니다. 공격자는 한국의 특정 연구원 안보통일센터로 사칭해 스피어피싱(Spear Phishing) 공격을 시도했으며, 이메일에 악성 문서를 압축 첨부하여 전송하였습니다. 압축 파일 내부에는 3개의 HWP 문서가 포함되어 있었고, 1개의 문서가 악성 기능을 수행합니다. [악성파일]- 190701 (현안보고 2019-07) 北의 우리당에 대한 정치공작과 대책.hwp [정상파일]- 190701대북동향 보고.hwp- 190702대북동향 보고.hwp ESRC는 이 공격의 배후가 특정 정부의 후원을 받고 있는 해킹조직 일명 '금성12..

악성코드 분석 리포트 2019. 7. 2. 19:30

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 07월 01일), 수입필증 및 정산서로 위장한 악성 피싱메일이 유포된 정황이 포착되어 사용자들의 각별한 주의가 필요합니다. [그림 1] 수입필증 및 정산서를 위장한 악성 피싱메일 해당 메일에는 수입신고필증(수입면장) 및 정산서 메일인 것처럼 속이기 위해 관련 이미지를 첨부했으며, 사용자의 파일 클릭을 유도했습니다. 첨부된 이미지는 화질이 낮아 그림만으로 상세 내용은 확인하기 어렵지만 실제 이미지와 비슷한 형식 및 도장이 날인되어 있어 면밀히 살펴보지 않는다면 쉽게 속을 가능성이 높습니다. 만약 사용자가 해당 첨부파일의 이미지를 수입신고필증(수입면장) 및 정산서로 착각해 클릭한다면, 이미지에 걸려있는 링크로 연결되며 악성 파일을 ..

악성코드 분석 리포트 2019. 7. 1. 14:12

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2019년 06월 24일, 세금 계산서를 사칭한 악성 이메일이 국내 기업에 다량으로 유포된 정황이 포착되어 사용자들의 각별한 주의가 필요합니다. [그림 1] 세금 계산서를 사칭한 피싱 메일 이번에 발견된 피싱 메일은 어눌한 한국어로 본문이 작성되었으며, "tax@taesungmarine.com"이라는 발신자명을 사용하여 세금계산서 관련 담당자가 보낸 메일인 것처럼 꾸미려고 하였습니다. File Name MD5 19030#5630.zip b534f496ca813f0b5203364576fb2112 만약 해당 메일을 받은 사용자가 세금 계산서 관련 파일로 착각해 첨부된 ZIP 파일을 다운로드하고 압축 해제하면 다음과 같이 ISO 파일을 확인하실 수 ..

악성코드 분석 리포트 2019. 6. 27. 14:39

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2019년 06월 27일, 암호화폐 ELYSIA 토큰세일 이벤트 당첨자 안내로 위장한 APT 공격이 포착되었습니다. 이번 공격은 지난 달 28일 발생했던 한국 유명 암호화폐 거래소 이벤트 경품 수령 안내와 동일한 방식이 사용되었고, 공격 배후에 이른바 김수키(Kimsuky) 조직이 있는 것으로 조사되었습니다. ESRC에서는 05월 28일에 '김수키 조직, 한국 암호화폐 거래소 이벤트 사칭 APT 공격 발생' 제목으로 관련 내용을 공개한 바 있습니다. 그리고 '김수키 조직, 사이버 안전국 암호화폐 민원안내로 사칭해 APT 공격 수행' 내용도 이어집니다. 새롭게 발견된 사례도 이벤트 당첨자 안내로 사칭한 패턴과 악성 HWP 문서를 활용했습니다..

악성코드 분석 리포트 2019. 6. 27. 11:55

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2019년 06월 10일경 ESRC에서는 자체 보안 모니터링 시스템을 통해, '진실겜.xls' 파일명의 악성 문서 파일을 발견했습니다. File Name MD5 진실겜.xls 64edec1d585ba599354f927249e12e6d 내부 조사결과 라자루스(Lazarus) APT 조직이 배후에 있는 것으로 확인되었습니다. 며칠 전 '라자루스(Lazarus) APT 그룹, 암호화폐 투자계약서 사칭 무비 코인 작전'을 공개한 바 있는데, 최근 비트코인의 시세가 1,500만원을 돌파하면서 특정 정부의 후원을 받는 해킹 조직의 활동이 증가하고 있어 각별한 주의가 필요합니다. 탐지 내역 C:\Users\Bit****\Downloads\Telegra..

악성코드 분석 리포트 2019. 6. 27. 10:59