안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 6월 18일) 후지코리아를 사칭한 견적 피싱메일이 유포된 정황이 확인돼, 사용자들의 각별한 주의가 필요합니다. 악성 피싱메일 유포자는 마치 후지 코리아 직원인 것처럼 사칭하여 견적 의뢰 관련 메일을 유포하였습니다. [그림 1] 후지코리아 견적 의뢰서를 사칭한 피싱메일 공격자는 피싱 메일에 대용량 파일을 첨부하였으며, 사용자가 해당 파일을 견적 의뢰서로 착각해 파일을 클릭할 경우, 악성 파일이 다운됩니다. 악성 파일은 %temp%경로 아래에 \msngdvfadxa\ 이름으로 폴더를 생성한 후 msngdvfadxa.vbs 파일과 자가 복제된 msngdvfadxa.exe 파일을 드롭합니다. [그림 2] msngdvfadxa.vbs 코..

악성코드 분석 리포트 2019. 6. 18. 16:59

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 구매 발주 제목으로 국내 포털 피싱 파일이 첨부되어 있는 이메일이 유포되고 있어 사용자들의 주의가 필요합니다. 본 메일은 “구매발주 : ( PO20617260118219 )” 라는 제목으로 전파되고 있으며, 구매발주서로 위장 된 PO20617260118219.htm 첨부 파일이 확인 되었습니다. [그림1] 구매 발주 제목으로 유포 된 이메일 화면 첨부 된 파일을 클릭 하게 되면 관련 내용을 보기 위해 첨부 파일을 다운로드 받아 실행 하면 아래와 같이 국내 포탈 사이트의 로그인 화면으로 이동하게 됩니다. [그림2] 첨부 파일 실행 시 보여지는 국내 포털 사이트 로그인 화면 사용자가 실제 로그인 계정과 패스워드를 입력 할 경우, 개인정보 수집..

악성코드 분석 리포트 2019. 6. 18. 15:03

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2019년 06월 14일, 관세 법인 회사를 사칭한 피싱메일이 유포된 정황이 포착되었습니다. [그림 1] 관세 법인 회사를 사칭한 피싱 메일 화면 피싱 메일에는 NEWSLETTER2019.pdf.iso라는 첨부 파일이 들어 있으며, 공격자는 실제 존재하는 회사명과 도메인을 이용하였습니다. [그림 2] 도메인 비교 화면 메일에 첨부된 'NEWSLETTER2019.pdf.iso' 파일 안에는 'NEWSLETTER2019.pdf.exe'라는 악성 실행 파일이 들어 있습니다. [그림 3] 피싱 메일에 첨부된 악성 iso 파일 및 악성 실행 파일 만약 사용자가 뉴스레터(NEWSLETTER)에 대한 자세한 정보를 열람하기 위해 파일을 클릭할 경우 C:\U..

악성코드 분석 리포트 2019. 6. 17. 16:48

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2019년 06월 14일 제17기 북한선교학교 신청서 문서로 위장한 APT 공격 정황이 포착되었습니다. ESRC에서는 해당 공격이 특정 정부의 후원을 받는 해킹조직 '금성121' 소행으로 분석을 완료한 상태입니다. File Name MD5 **_제17기 북한선교학교 신청서.hwp (이름 * 표시) eb4384dbdac5f5177533714551bf16e2 해당 문서는 2019년 06월 12일에 마지막으로 수정되었으며, 작성자와 마지막 수정이는 다음과 같습니다. 'User1' 계정은 '금성121' 조직의 APT 공격에서 여러차례 식별된 바 있습니다. Author Last Saved By 네이버 한글캠페인 User1 - 금성121 조직, 학술..

악성코드 분석 리포트 2019. 6. 15. 02:07

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 6/12 오후부터 NH농협은행 보안팀에서 보낸 메일처럼 위장한 피싱메일이 시중에 대량으로 유포되고 있어 사용자 여러분의 주의가 필요합니다. 피싱메일 분석한 결과, 리플라이 오퍼레이터 그룹에서 유포한 것으로 확인되었으며, 기존의 '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등 공공기관에서 보낸 것처럼 사용자를 속이던 방식에서 최근에는 금융회사를 사칭해 랜섬웨어를 유포하는 방향을 선호하는 것으로 보입니다. [그림 1] NH농협은행을 사칭한 피싱메일 시중에 유포되고 있는 피싱 메일은 NH농협 보안팀이 보낸 것으로 되어 있고 신뢰도를 높이기 위해 직원 이름 역시 사용하고 있습니다. 이 직원 이름은 실제 NH농협 ..

악성코드 분석 리포트 2019. 6. 14. 22:50

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 토렌트 파일로 위장한 악성 파일이 발견되었습니다. 해당 파일은 최근 이슈였던 어벤저스 엔드게임 파일인 것처럼 위장하여 사용자를 속였습니다. ESRC에서는 어벤저스 엔드게임 영화가 영화관에서 내려가는 시점에서 영화를 보고 싶은 사용자들이 토렌트로 영상을 검색할 것을 염두 해 해당 피싱 파일을 유포한 것으로 추측하고 있습니다. 이번에 발견된 악성 파일은 "Avengers Endgame.2019-1080p.FHDRip.H264.AAC-RTM rcs.torrent"라는 이름으로 유포되었으며, torrent 파일인 것처럼 위장했지만 실제로는 악성 실행파일입니다. [그림 1] 토렌트 파일을 사칭한 악성 실행파일 공격자는 유니코드 확장자 변조 기능(RTLO..

악성코드 분석 리포트 2019. 6. 12. 14:26

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 과거부터 한국과 해외 등을 상대로 은밀히 활동중인 APT(지능형 지속 위협) 공격조직 일명 '코니(Konni)'의 배후를 추적하는 과정에서 '탈륨(Thallium)/김수키(Kimsuky)'와 연관된 몇가지 의심스러운 정황들을 관찰했습니다. 김수키 조직은 특정 정부의 지원을 받고 있으며, 최근까지 코니 조직과는 별다른 연결고리가 공식적으로 보고된 바 없습니다. 그러나 ESRC는 코니 캠페인에 연루된 몇몇 위협 흔적들을 심층 분석하는 과정에서 단순 우연으로 보기 어려운 단서를 포착했고, 이를 통해 코니와 김수키 조직이 특별한 관계일 가능성이 높다는 결론에 도달했습니다. 본 스페셜 리포트는 베일에 싸여 있던 코니 조직의 배후와 실체를 연구한 ..

악성코드 분석 리포트 2019. 6. 10. 16:11

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 등록되지 않은 IP에서 로그인 된 정황이 발견되어, 로그인 시도 활동 및 안전한 이메일을 확인하기 위해 클릭하라는 악성 메일이 유포되고 있어 사용자들의 주의가 필요합니다. 특히 이번 메일은 매스 메일링(Mass-Mailing)기법을 사용하여 약 85명의 불특정 다수에게 메일이 전달 되었습니다. [그림1] 로그인 확인으로 위장 된 이메일 화면 사용자가 비정상적인 로그인 시도를 체크하기 위해 본문에 기재 된 링크를 클릭 시 아래의 주소에서 압축파일을 다운로드 받게 됩니다.파일 다운로드 주소 : https://www.dropbox.com/s/***************/unusual_logins_to_mail_accounts.zip?dl=1 [..

악성코드 분석 리포트 2019. 6. 4. 16:59