안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 구글 검색을 통해 새로운 갠드크랩 랜섬웨어가 유포되고 있는 정황이 발견되었습니다. 이번에 발견된 신종 갠드크랩 랜섬웨어는 "검색명_[랜덤숫자].zip" 형태이며, 사용자가 특정 단어를 구글 사이트를 통해 검색 시, 검색 결과 상단에 노출되어 다운로드 및 실행을 유도합니다. [그림 1] 구글 검색 상단에 위치한 갠드크랩 유포 사이트 만약 사용자가 특정 프로그램을 무료로 다운로드하기 위해 해당 사이트에 들어가면 다음과 같은 다운로드 페이지를 확인할 수 있습니다. [그림 2] 사용자의 클릭을 유도하는 갠드크랩 유포 사이트 해당 링크를 클릭하면 아래와 같이 "검색명_링크_[랜덤숫자].zip" 형태의 압축파일이 다운로드됩니다. [그림 3] ZIP ..

악성코드 분석 리포트 2019. 5. 22. 09:59

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2019년 05월 20일 오전, 제품 견적문의로 위장한 악성 파일이 포함된 피싱 메일이 유포된 정황이 확인되어 사용자들의 주의가 필요합니다. [그림 1] '제품 문의 합니다.' 제목으로 전달된 악성 피싱 메일 이번에 발견된 악성 메일은 국내 포털 사이트 도메인인 'nate.com'을 악용하였으며, 이전에 유포되었던 피싱메일처럼 간단한 내용이 작성되어 있습니다. 해당 피싱 메일에는 '제품문의.egg'라는 제목의 압축 파일(.egg)이 첨부되어 있습니다. 해당 메일을 수신한 담당자가 제품 문의 관련 파일로 착각하여 압축 해제하면, 다음과 같이 Excel 파일처럼 보이는 실행 파일(.exe)을 확인하실 수 있습니다. [그림 2] Excel 파일을 위..

악성코드 분석 리포트 2019. 5. 21. 14:21

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 (2019년 05월 21일)오전 한국의 여러 기업을 대상으로 반출 신고서, 출근부 등으로 위장한 악성 파일이 포함된 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다. 이 피싱 메일은 지난 5월 16일에도 대량으로 유포된적 있으며, ESRC에서는 해당 공격이 TA505 공격 그룹에 의한 소행이라고 판단하고 있습니다. ※ 관련글 보러가기 ▶ 유출된 소스코드 기반으로 제작된 악성코드 유포 주의 (2019.02.14)▶ Trojan.Ransom.Clop 악성코드 분석 보고서 (2019.03.22)▶ 클롭(Clop) 랜섬웨어 유포 조직이 진행하는 기업 타깃 대량공격 주의! (2019.04.24)▶ TA505 조직, 요청자료 엑셀문서처럼 위장..

악성코드 분석 리포트 2019. 5. 21. 11:46

안녕하세요? 이스트시큐리티입니다. 최근 신종 ‘Sodinokibi’ 랜섬웨어가 발견되었습니다. 이번에 발견된 악성코드는 난독화된 자바스크립트가 Powershell을 실행하고 디코딩을 한 후 최종적으로 정상 프로세스에 랜섬웨어 파일을 주입하여 실행하는 형태입니다. 또한 로컬 시스템만 감염 시키는 것이 아니라 로컬과 연결된 네트워크 드라이브에 대해서도 암호화를 시도하고, C&C 서버에 사용자 정보를 전송합니다. 지속적인 변종이 등장할 가능성이 높은 만큼 사용자의 주의가 필요합니다. 따라서, 본 보고서에서는 Sodinokibi 랜섬웨어를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 랜섬웨어 드로퍼이 악성코드는 여러 중간 과정을 통해 최종 랜섬웨어 PE파일을 드롭합니다. 이 과정은 자바스크립트 실행, 파워..

악성코드 분석 리포트 2019. 5. 21. 10:23

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 최근 사이버 보안 위협 수위가 점점 상승하고 있는 가운데, ▲외교 ▲안보 ▲국방 ▲통일 ▲대북분야 등에 속한 주요 인물을 상대로 사이버 첩보 수집 활동이 빈번히 목격되고 있습니다. ESRC는 한국을 대상으로 한 몇몇 지능형지속위협(APT) 배후에 특정 정부가 조직적으로 가담하고 있으며, 수년간 사이버 작전을 진두지휘하고 있는 것으로 확신합니다. 이들은 한반도 정치 상황이나 혼란스런 사회 분위기를 틈타 심리기반 공격에 총력을 기울이는 특징이 있으며, 마치 신뢰할 수 있는 한국의 정부기관이 보낸 내용처럼 사칭해 이용자들을 현혹시킵니다. 또한, 사이버 전략전술 체계에서 교란 및 기만전술을 절묘하게 활용해 위협이 시작된 원점파악이나 조직속성 분..

악성코드 분석 리포트 2019. 5. 20. 14:20

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 16일) 영업프로젝트, 첨부자료 양식, 사진 파일 등을 위장한 악성 파일이 포함된 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다. 이 피싱 메일은 지난 5월 8일에도 대량으로 유포되었습니다. ESRC에서는 해당 공격이 TA505 공격 그룹에 의한 소행이라고 판단하고 있습니다. ※ 관련글 보러가기 ▶ 유출된 소스코드 기반으로 제작된 악성코드 유포 주의 (2019.02.14)▶ Trojan.Ransom.Clop 악성코드 분석 보고서 (2019.03.22)▶ 클롭(Clop) 랜섬웨어 유포 조직이 진행하는 기업 타깃 대량공격 주의! (2019.04.24)▶ TA505 조직, 요청자료 엑셀문서처럼 위장해 한국에 악성 이메..

악성코드 분석 리포트 2019. 5. 16. 13:28

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 지난 01월 02일 【암호화폐 내용의 Konni APT 캠페인과 '오퍼레이션 헌터 아도니스'】 보고서를 공개한 바 있는데, 최근 이들의 사이버 위협 활동이 또 다시 감지되고 있습니다. File Name 요청주신 정책 관련 자료.doc (BlueSky) MD5 0eb6090397c74327cd4d47819f724953 C2 filer1.1apps[.]com File Name 젠트리온 지갑 관련자료.doc (BlueSky) MD5 2bfbf8ce47585aa86b1ab90ff109fd57 C2 filer2.1apps[.]com 한국어를 구사하는 대표적인 APT 위협 그룹 중에 하나인 'Konni' 조직은 아직도 베일에 쌓여있습니다. 최근 변..

악성코드 분석 리포트 2019. 5. 16. 01:38

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 15일) 오전 '입사지원 합니다'라는 입사 지원서를 사칭한 피싱 메일이 유포되고 있어 채용 담당자분들의 주의가 필요합니다. 이번에 포착된 피싱 메일은 어제 발견된 견적 요청 메일에서 제목과 내용만 약간 수정되었을 뿐, 전반적으로 비슷한 형태를 띠고 있습니다. [그림 1] 입사지원서를 사칭한 피싱 메일 화면 해당 메일에는 '(OOO)이력서.alz'라는 '(지원자명)이력서' 형태의 제목을 가진 압축 파일(alz)이 첨부되어 있습니다.(지원자명의 경우 피싱메일에 따라 상이할 수 있습니다.) 채용 담당자가 해당 메일을 입사 지원서 관련 파일로 착각하여 압축 해제하면, 다음과 같이 PDF 문서(.pdf)를 위장한 악성 실행 파일이..

악성코드 분석 리포트 2019. 5. 15. 14:36