안녕하세요?이스트시큐리티 시큐리티대응센터 (이하 ESRC)입니다. 정부후원을 받는 대표적인 해킹조직 중 하나인 라자루스(Lazarus) 그룹의 활동이 계속 포착되는 가운데, 금일 새로운 악성 HWP 문서가 추가로 발견되었습니다. 이번 문서의 파일명은 '(필수)외주직원 신상명세서.hwp' 이며, 제작날짜는 2019년 07월 12일입니다.문서종류를 보아 특정 기업의 외주직원 관계자를 겨냥한 것이 아닌가 의심됩니다. 더불어 지난 주 보고했던 '시스템 포팅 계약서(수정).hwp' 악성파일과 거의 동일한 시점에 제작이 되었고, 내부 공격코드나 명령제어(C2) 서버가 동일합니다. 그리고 '투자계약서_20190619.hwp' 공격 코드와도 거의 유사하지만, 코드 난독화를 한단계 더 추가한 특징이 있습니다. ▶ 라자루..

악성코드 분석 리포트 2019. 7. 15. 16:54

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 2019년 07월 12일, 정부 지원을 받는 해킹 조직으로 널리 알려진 이른바 '라자루스(Lazarus)' APT 조직이 HWP 취약점 문서 파일을 활용해 공격을 수행한 정황이 포착되었습니다. [그림 1] HWP 취약점 문서 파일 전반적으로 지난 6월 20일에 라자루스(Lazarus) APT 조직에 의해 수행된 '오퍼레이션 무비 코인'과 유사도가 높습니다. ▶ 라자루스(Lazarus) APT 그룹, 암호화폐 투자계약서 사칭 무비 코인 작전 (2019.06.20) '시스템 포팅 명세서.hwp' 파일명으로 발견된 악성 파일은 07월 11일 오전 11시 20분경 제작된 것으로 추정되며, 고스트 스크립트 모듈의 취약점으로 쉘코드에서 동작해서 봇..

악성코드 분석 리포트 2019. 7. 12. 16:04

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 공정거래위원회를 사칭한 악성 메일로 소디노키비(Sodinokibi) 랜섬웨어가 유포되고 있어 이용자들의 주의를 당부드립니다. 이번에 발견된 공정거래위원회 사칭 악성메일은 '전자상거래에 대한 위반행위 조사통지서' 내용을 담고 있습니다. 또한 메일 본문 하단에 '붙임. 전산 및 비전산 자료 보존요청서 1부' 내용으로 첨부 파일 확인을 유도합니다. [그림 1] '전자상거래 위반행위 관련 조사통지서'로 위장한 악성 메일 실제 첨부파일 '전산 및 비전산자료 보존 요청서.egg'에는 2개의 PDF 파일로 위장한 악성 실행파일이 들어 있으며, 두 파일은 모두 긴 공백을 삽입하여 실행 파일(EXE)인 것을 속이려고 시도 하였습니다. [그림 2] PDF ..

악성코드 분석 리포트 2019. 7. 11. 09:53

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2019년 07월 05일, 웹페이지상에서 사용자의 메일과 비밀번호를 입력하게끔 유도하는 스피어 피싱이 발견되었습니다. 이 피싱 메일들은 조달 견적 요청 메일과 송금 증명서(remittance certificate)를 사칭하여 유포되었습니다. [그림 1] 조달 견적 사칭 메일 [그림 2] 송금 증명서(remittance certificate) 사칭 메일 이번에 발견된 피싱메일은 중소기업을 타깃으로 유포되었으며, 각가 htm 파일과 dat 파일을 첨부한 것이 특징입니다. 먼저, 조달 견적을 사칭한 메일의 htm 파일을 열어보면 다음과 같이 국내 포털 사이트인 네이버 로그인 화면을 보여줍니다. [그림 3] 네이버 로그인 페이지를 사칭한 피싱 사이트 ..

악성코드 분석 리포트 2019. 7. 10. 16:20

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2019년 07월 09일, 견적 의뢰로 위장한 악성 이메일이 유포된 정황이 포착되어 사용자들의 각별한 주의가 필요합니다. [그림 1] 견적 요청 자료로 위장한 악성 메일 이번에 발견된 피싱메일은 견적서 의뢰 메일과 거의 동일한 형식으로 작성되었으며, 특정 기업의 정보를 그대로 도용하였습니다. 악성 피싱 메일에는 '견적 품목 리스트.rar'이라는 RAR 파일이 첨부되어 있으며, 메일을 받은 사용자가 견적 품목 파일로 착각해 압축 파일을 해제하면 아래와 같은 악성 실행 파일을 확인하실 수 있습니다. [그림 2] RAR 파일 안의 악성 실행파일 File Name MD5 pi.exe C3556114FF55BF6965B0BD4605F2044B 해당 악성..

악성코드 분석 리포트 2019. 7. 9. 10:53

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 비트코인을 비롯한 암호화폐의 가격이 전반적으로 상승세에 있습니다. 이런 암호화폐의 가격 상승에 발맞추어 관련 악성코드가 증가 추세를 보이고 있습니다. 모바일 기기를 타겟으로 하는 암호화폐 악성앱은 크게 3가지로 분류할 수 있습니다. 첫번째는 클리퍼로 피해자의 클립보드를 감시하다가 암호화폐의 지갑주소가 감지 되면 이를 공격자의 지갑주소로 변경하는 공격을 수행 합니다. 두번째는 월렛으로 위장하는 악성앱입니다. 월렛은 암호화폐를 저장하는 지갑이며 악성앱은 이런 월렛으로 위장하여 유포됩니다. 월렛으로 위장한 악성앱을 설치한 피해자가 자신의 지갑 주소 생성을 시도하면 공격자의 지갑 주소를 반환합니다. 이를 모르는 피해자가 공격자의 지갑으로 암..

악성코드 분석 리포트 2019. 7. 4. 18:35

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 7월 3일) 개인정보 수집을 위해 서울중앙지방검찰청 사이트로 위장 된 피싱사이트가 발견되어 사용자들의 각별한 주의가 필요합니다. 이번에 발견 된 피싱사이트는 접속 한 사용자가 자신의 사건을 조회할 때 필요한 개인정보를 탈취하기 위해 제작되었습니다. * 서울중앙지방검찰청이란? 서울중앙지방법원에 대응하여 각종 범죄에 대한 수사와 집행 같은 행정적인 지원업무를 도와주는 특별지방행정기관입니다. 접속한 사용자가 "나의 사건 조회"를 클릭하게 되면 개인정보 탈취를 위해 제작 된 다른 사이트로 이동하게 됩니다. [그림 1] 서울중앙지방검찰청 피싱 사이트 화면 사용자의 실명확인을 위해 이름과 주민번호를 입력하면 피싱 사이트 제작자가 미리 만둘..

악성코드 분석 리포트 2019. 7. 4. 15:05

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 한국을 공격 대상으로 활동하는 대표적인 APT 그룹인, 라자루스(Lazarus), 김수키(Kimsuky), 금성121(Geumseong121) 조직의 움직임이 최근 연속적으로 발생하고 있습니다. 금일, '금성121' 조직이 정치·통일·안보 관련 분야를 겨냥한 공격이 포착된 것에 이어 '라자루스' 그룹으로 분류된 APT 캠페인도 식별되었습니다. '라자루스' 시리즈로 수행된 공격은 얼마전 있었던 【라자루스(Lazarus) APT 조직, 텔레그램 메신저로 '진실겜.xls' 악성 파일 공격】 사례와 마찬가지로 암호화폐 거래 관계자를 노렸습니다. 이번 공격은 2019년 06월 27일 오전 10시경부터 여러 사람들에게 유포되었고, 일부는 과거 특정 ..

악성코드 분석 리포트 2019. 7. 2. 21:59