안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 (2019년 06월 24일) 공정 부적합 사례 내용으로 위장하고 국내 중소기업을 사칭한 악성 이메일이 유포된 정황이 포착되었습니다. 이번에 발견된 피싱 메일에는 특이하게, 메일 제목에 "봉개, 한림, 서귀포"라는 제주도의 지역명을 사용했습니다. [그림 1] 공정 부적합 사례를 위장한 피싱 메일 해당 메일을 받은 사용자가 첨부된 대용량 파일의 내용을 확인하기 위해 클릭하면 다음과 같이 악성 ACE 파일 및 ZIP 파일이 다운로드 됩니다. [그림 2] 피싱 메일에 첨부된 대용량 파일 다운로드 화면 다운로드한 ACE 파일 및 ZIP 파일을 압축 해제하면 아래의 악성 실행 파일을 확인하실 수 있습니다. [그림 3] 압축 파일 안의 악성 실행 파일..

악성코드 분석 리포트 2019. 6. 24. 18:00

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 네이버 및 사무관을 사칭한 내용의 피싱 메일이 유포된 정황이 확인되어, 사용자분들의 각별한 주의가 요구됩니다. ESRC에서는 이번에 포착된 피싱 메일에 대해 아래와 같이 상세 분석을 진행하였습니다. 네이버 계정 비밀번호 유출을 사칭한 피싱 메일 첫 번째 피싱 메일은 네이버 계정 비밀번호가 유출되었다며, 사용자 비밀번호 변경을 유도하는 피싱 메일입니다. 해당 피싱 메일은 불특정 다수에게 보낸 메일이 아닌, 해커가 탈취하고 싶은 계정을 상대로 보낸 것입니다. [그림 1] 네이버 계정 비밀번호 유출을 사칭한 피싱 메일 사용자가 피싱 메일의 내용을 실제 본인 계정의 비밀번호가 유출된 것으로 착각해 피싱 메일의 "비밀번호 변경 바로가기"를 클릭하면..

악성코드 분석 리포트 2019. 6. 21. 16:43

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. Android의 공식 마켓인 구글 플레이 스토어를 통한 악성 앱 유포가 빈번하게 일어나고 있습니다. 물론 구글에서도 안전한 앱스토어 환경을 조성하기 위해 노력을 기울이지만 수많은 앱들이 등록되다 보니 제대로 걸러지지 않는 경우가 생깁니다. 더불어 공격을 수행하는 악성 앱 제작자들도 앱스토어에 공격 앱을 등록하기 위해 노력하며 마켓의 앱 등록 절차상 허점 등의 취약점을 적극 활용합니다. 악성 앱 제작자들이 공식 마켓에 악성 앱을 등록하려는 이유는 파급효과가 크기 때문입니다. 일단 마켓에 앱이 등록되면 수많은 잠재 피해자에게 악성 앱이 노출되는 점과 다운로드 수가 많아질수록 확산 속도도 빨라지는 장점이 있기 때문입니다. 이런 이유로 구글 플레..

악성코드 분석 리포트 2019. 6. 21. 08:22

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 '형사 사건번호'라는 제목으로 헌법 재판소를 사칭한 피싱 메일이 유포되고 있습니다. [그림 1] 헌법 재판소로 사칭한 피싱 메일 이 피싱 메일은 사건과 관련된 모든 자료를 함께 동봉했다며 사용자가 첨부된 파일(Documents.zip)을 실행하도록 유도합니다. 첨부 파일에는 난독화된 자바스크립트 파일 ‘Korea Criminal Case #521.js’, ‘Korean Constitutional Court #143.js’(Trojan.JS.Ransom.A)을 포함하고 있으며, 자바스크립트 파일을 실행할 경우 최종적으로 ‘Trojan.Ransom.VegaLocker’(이하 ‘VegaLocker’) 랜섬웨어에 감염됩니다. VegaLock..

악성코드 분석 리포트 2019. 6. 21. 08:15

■ 라자루스, 무비 코인 작전으로 한국 맞춤형 APT 공격 안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 2019년 06월 20일, 정부 지원을 받는 해킹 조직으로 널리 알려진 이른바 '라자루스(Lazarus)' APT 조직이 HWP 취약점 문서 파일을 활용해 공격을 수행한 정황이 포착되었습니다. '투자계약서_20190619.hwp' 파일명으로 발견된 악성 파일은 06월 19일 제작된 것으로 분석됐으며, 취약점에 의해 설치되는 최종 악성 DLL 모듈은 '2019년 06월 18일 21시 03분 경에 만들어졌습니다. 문서 파일 내부에는 'BIN0001.PS' 포스트 스크립트 파일이 포함되어 있습니다. [그림 1] 악성 포스트 스크립트 코드 화면 포스트 스크립트 코드에는 [D0 7F 2B..

악성코드 분석 리포트 2019. 6. 20. 23:49

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 (2019년 06월 20일) 오전부터 국내 기업들에 송금증 내용으로 위장한 악성 이메일이 다량 유포되고 있습니다. 피싱 메일이 회계 관련 내용인 만큼 회계 관련 업무를 보시는 분들의 각별한 주의가 필요합니다. [그림 1] 송금증 내용을 위장한 악성 피싱 메일 ESRC에서는 긴급 대응 진행 중이며, TA505 그룹이 유포한 것으로 파악하고 있습니다. 금일 발견된 악성 피싱 메일은 중소기업을 사칭하며 "송금증 $(랜덤숫자)" 제목으로 유포되고 있습니다. 메일 내용은 간단하게 "파일 보내드립니다"라고 적혀있습니다. 금일 발견된 메일에는 XLS, DOC 등 MS Office 문서를 악용한 악성 파일이 첨부되어 있으며, "날짜 + 송금증 + 랜덤값..

악성코드 분석 리포트 2019. 6. 20. 10:35

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 6월 18일) 후지코리아를 사칭한 견적 피싱메일이 유포된 정황이 확인돼, 사용자들의 각별한 주의가 필요합니다. 악성 피싱메일 유포자는 마치 후지 코리아 직원인 것처럼 사칭하여 견적 의뢰 관련 메일을 유포하였습니다. [그림 1] 후지코리아 견적 의뢰서를 사칭한 피싱메일 공격자는 피싱 메일에 대용량 파일을 첨부하였으며, 사용자가 해당 파일을 견적 의뢰서로 착각해 파일을 클릭할 경우, 악성 파일이 다운됩니다. 악성 파일은 %temp%경로 아래에 \msngdvfadxa\ 이름으로 폴더를 생성한 후 msngdvfadxa.vbs 파일과 자가 복제된 msngdvfadxa.exe 파일을 드롭합니다. [그림 2] msngdvfadxa.vbs 코..

악성코드 분석 리포트 2019. 6. 18. 16:59

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 구매 발주 제목으로 국내 포털 피싱 파일이 첨부되어 있는 이메일이 유포되고 있어 사용자들의 주의가 필요합니다. 본 메일은 “구매발주 : ( PO20617260118219 )” 라는 제목으로 전파되고 있으며, 구매발주서로 위장 된 PO20617260118219.htm 첨부 파일이 확인 되었습니다. [그림1] 구매 발주 제목으로 유포 된 이메일 화면 첨부 된 파일을 클릭 하게 되면 관련 내용을 보기 위해 첨부 파일을 다운로드 받아 실행 하면 아래와 같이 국내 포탈 사이트의 로그인 화면으로 이동하게 됩니다. [그림2] 첨부 파일 실행 시 보여지는 국내 포털 사이트 로그인 화면 사용자가 실제 로그인 계정과 패스워드를 입력 할 경우, 개인정보 수집..

악성코드 분석 리포트 2019. 6. 18. 15:03