안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 '형사 사건번호'라는 제목으로 헌법 재판소를 사칭한 피싱 메일이 유포되고 있습니다. [그림 1] 헌법 재판소로 사칭한 피싱 메일 이 피싱 메일은 사건과 관련된 모든 자료를 함께 동봉했다며 사용자가 첨부된 파일(Documents.zip)을 실행하도록 유도합니다. 첨부 파일에는 난독화된 자바스크립트 파일 ‘Korea Criminal Case #521.js’, ‘Korean Constitutional Court #143.js’(Trojan.JS.Ransom.A)을 포함하고 있으며, 자바스크립트 파일을 실행할 경우 최종적으로 ‘Trojan.Ransom.VegaLocker’(이하 ‘VegaLocker’) 랜섬웨어에 감염됩니다. VegaLock..

악성코드 분석 리포트 2019. 6. 21. 08:15

■ 라자루스, 무비 코인 작전으로 한국 맞춤형 APT 공격 안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 2019년 06월 20일, 정부 지원을 받는 해킹 조직으로 널리 알려진 이른바 '라자루스(Lazarus)' APT 조직이 HWP 취약점 문서 파일을 활용해 공격을 수행한 정황이 포착되었습니다. '투자계약서_20190619.hwp' 파일명으로 발견된 악성 파일은 06월 19일 제작된 것으로 분석됐으며, 취약점에 의해 설치되는 최종 악성 DLL 모듈은 '2019년 06월 18일 21시 03분 경에 만들어졌습니다. 문서 파일 내부에는 'BIN0001.PS' 포스트 스크립트 파일이 포함되어 있습니다. [그림 1] 악성 포스트 스크립트 코드 화면 포스트 스크립트 코드에는 [D0 7F 2B..

악성코드 분석 리포트 2019. 6. 20. 23:49

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 (2019년 06월 20일) 오전부터 국내 기업들에 송금증 내용으로 위장한 악성 이메일이 다량 유포되고 있습니다. 피싱 메일이 회계 관련 내용인 만큼 회계 관련 업무를 보시는 분들의 각별한 주의가 필요합니다. [그림 1] 송금증 내용을 위장한 악성 피싱 메일 ESRC에서는 긴급 대응 진행 중이며, TA505 그룹이 유포한 것으로 파악하고 있습니다. 금일 발견된 악성 피싱 메일은 중소기업을 사칭하며 "송금증 $(랜덤숫자)" 제목으로 유포되고 있습니다. 메일 내용은 간단하게 "파일 보내드립니다"라고 적혀있습니다. 금일 발견된 메일에는 XLS, DOC 등 MS Office 문서를 악용한 악성 파일이 첨부되어 있으며, "날짜 + 송금증 + 랜덤값..

악성코드 분석 리포트 2019. 6. 20. 10:35

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 6월 18일) 후지코리아를 사칭한 견적 피싱메일이 유포된 정황이 확인돼, 사용자들의 각별한 주의가 필요합니다. 악성 피싱메일 유포자는 마치 후지 코리아 직원인 것처럼 사칭하여 견적 의뢰 관련 메일을 유포하였습니다. [그림 1] 후지코리아 견적 의뢰서를 사칭한 피싱메일 공격자는 피싱 메일에 대용량 파일을 첨부하였으며, 사용자가 해당 파일을 견적 의뢰서로 착각해 파일을 클릭할 경우, 악성 파일이 다운됩니다. 악성 파일은 %temp%경로 아래에 \msngdvfadxa\ 이름으로 폴더를 생성한 후 msngdvfadxa.vbs 파일과 자가 복제된 msngdvfadxa.exe 파일을 드롭합니다. [그림 2] msngdvfadxa.vbs 코..

악성코드 분석 리포트 2019. 6. 18. 16:59

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 구매 발주 제목으로 국내 포털 피싱 파일이 첨부되어 있는 이메일이 유포되고 있어 사용자들의 주의가 필요합니다. 본 메일은 “구매발주 : ( PO20617260118219 )” 라는 제목으로 전파되고 있으며, 구매발주서로 위장 된 PO20617260118219.htm 첨부 파일이 확인 되었습니다. [그림1] 구매 발주 제목으로 유포 된 이메일 화면 첨부 된 파일을 클릭 하게 되면 관련 내용을 보기 위해 첨부 파일을 다운로드 받아 실행 하면 아래와 같이 국내 포탈 사이트의 로그인 화면으로 이동하게 됩니다. [그림2] 첨부 파일 실행 시 보여지는 국내 포털 사이트 로그인 화면 사용자가 실제 로그인 계정과 패스워드를 입력 할 경우, 개인정보 수집..

악성코드 분석 리포트 2019. 6. 18. 15:03

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2019년 06월 14일, 관세 법인 회사를 사칭한 피싱메일이 유포된 정황이 포착되었습니다. [그림 1] 관세 법인 회사를 사칭한 피싱 메일 화면 피싱 메일에는 NEWSLETTER2019.pdf.iso라는 첨부 파일이 들어 있으며, 공격자는 실제 존재하는 회사명과 도메인을 이용하였습니다. [그림 2] 도메인 비교 화면 메일에 첨부된 'NEWSLETTER2019.pdf.iso' 파일 안에는 'NEWSLETTER2019.pdf.exe'라는 악성 실행 파일이 들어 있습니다. [그림 3] 피싱 메일에 첨부된 악성 iso 파일 및 악성 실행 파일 만약 사용자가 뉴스레터(NEWSLETTER)에 대한 자세한 정보를 열람하기 위해 파일을 클릭할 경우 C:\U..

악성코드 분석 리포트 2019. 6. 17. 16:48

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2019년 06월 14일 제17기 북한선교학교 신청서 문서로 위장한 APT 공격 정황이 포착되었습니다. ESRC에서는 해당 공격이 특정 정부의 후원을 받는 해킹조직 '금성121' 소행으로 분석을 완료한 상태입니다. File Name MD5 **_제17기 북한선교학교 신청서.hwp (이름 * 표시) eb4384dbdac5f5177533714551bf16e2 해당 문서는 2019년 06월 12일에 마지막으로 수정되었으며, 작성자와 마지막 수정이는 다음과 같습니다. 'User1' 계정은 '금성121' 조직의 APT 공격에서 여러차례 식별된 바 있습니다. Author Last Saved By 네이버 한글캠페인 User1 - 금성121 조직, 학술..

악성코드 분석 리포트 2019. 6. 15. 02:07

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 6/12 오후부터 NH농협은행 보안팀에서 보낸 메일처럼 위장한 피싱메일이 시중에 대량으로 유포되고 있어 사용자 여러분의 주의가 필요합니다. 피싱메일 분석한 결과, 리플라이 오퍼레이터 그룹에서 유포한 것으로 확인되었으며, 기존의 '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등 공공기관에서 보낸 것처럼 사용자를 속이던 방식에서 최근에는 금융회사를 사칭해 랜섬웨어를 유포하는 방향을 선호하는 것으로 보입니다. [그림 1] NH농협은행을 사칭한 피싱메일 시중에 유포되고 있는 피싱 메일은 NH농협 보안팀이 보낸 것으로 되어 있고 신뢰도를 높이기 위해 직원 이름 역시 사용하고 있습니다. 이 직원 이름은 실제 NH농협 ..

악성코드 분석 리포트 2019. 6. 14. 22:50