안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 14일) 오전 '견적 요청 드려요'라는 피싱 메일이 급격하게 다량으로 유포되고 있어 사용자들의 주의가 필요합니다. [그림 1] 견적 요청을 위장한 피싱 메일 화면 해당 메일에는 '견적요청.alz'라는 알집 파일(alz)이 첨부되어 있습니다. 해당 악성 파일을 견적요청 파일로 착각하여 압축 해제하면, 다음과 같이 MS Word 문서(.doc)를 위장한 악성 실행 파일이 들어 있습니다. [그림 2] MS Word 문서 파일을 위장한 악성 파일1 악성 실행 파일은 '견적요청.doc(빈공백).exe'이라는 이중 확장자 형태이며, 자세히 확인하지 않으면 해당 파일을 Word 문서 파일로 착각할 가능성이 높습니다. 또한, 큰 아이콘..

악성코드 분석 리포트 2019. 5. 14. 10:32

안녕하세요? 이스트시큐리티 시큐리티 대응센터(이하 ESRC) 입니다. 지난 04월 17일 "한ㆍ미 겨냥 APT 캠페인 '스모크 스크린' Kimsuky 실체 공개" 리포팅을 통해 한국과 미국을 대상으로 은밀하게 수행 중인 APT 공격의 배후가 드러난 바 있습니다. 약 한달이 지난 지금까지도 '스모크 스크린' 캠페인을 벌인 조직의 대남, 대미 사이버 첩보 활동이 멈추지 않고 있습니다. 흥미로운 점은 이들이 한국과 미국을 상대로 스피어 피싱(Spear Phishing) 공격을 수행하면서, 보안 탐지 시스템을 간단하게 우회하고 있다는 것입니다. ■ 보안 기밀 문서로 위장한 연막(스모크 스크린) 작전 배경 ESRC는 한국과 미국의 북한관련 분야에 종사하는 전문직만 겨냥한 이들의 활동을 관찰하고 분석하면서 공통적인..

악성코드 분석 리포트 2019. 5. 13. 17:34

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 13일) 오전 국내 조선사를 사칭한 견적 의뢰 요청 건이라는 피싱 메일이 유포되어 사용자들의 주의가 필요합니다. [그림 1] 국내 조선사를 사칭한 피싱 메일 화면 해당 피싱 메일은 다음(daum) 도메인인 'hanmail.net'를 사용하였으며, 첨부된 대용량 파일이 아래 그림과 같이 링크를 통해 다운로드됩니다. [그림 2] 악성 대용량 파일 다운로드 화면 메일에 첨부된 대용량 파일은 각각 ACE 압축 포맷과 ZIP 압축 포맷의 압축 파일이며 해당 파일을 압축 해제하면 PDF 파일을 위장한 악성 실행파일이 들어 있습니다. [그림 3] 압축 파일 안의 악성 파일 화면 압축 파일 안에는 아래 그림과 같이 이중 확장자 형태(,..

악성코드 분석 리포트 2019. 5. 13. 15:22

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 08일) 오전부터 '수정 부분 번역 요청' 혹은 '서류'라는 MS Excel(.xls) 파일을 위장한 악성 파일이 포함된 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다. 이 피싱 메일은 지난 5월 2일에도 대량으로 유포된 적이 있었던 바 있습니다. ※ 관련글 보러가기 ▶ 유출된 소스코드 기반으로 제작된 악성코드 유포 주의 (2019.02.14)▶ Trojan.Ransom.Clop 악성코드 분석 보고서 (2019.03.22)▶ 클롭(Clop) 랜섬웨어 유포 조직이 진행하는 기업 타깃 대량공격 주의! (2019.04.24)▶ TA505 조직, 요청자료 엑셀문서처럼 위장해 한국에 악성 이메일 유포 중 (2019.05...

악성코드 분석 리포트 2019. 5. 8. 11:27

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 2019년 5월 7일, ESRC에서는 리플라이 오퍼레이터(Reply Operator) 조직이 FAX 문서와 관련된 악성 메일을 유포한 정황을 확인하였습니다. 어제 오전 포착된 이 메일은 WiseFAX 문서.rar 이라는 RAR 파일을 첨부하였으며, FAX를 확인하라는 메시지와 함께 사용자들의 클릭을 유도했습니다. [그림 1] FAX 문서를 사칭한 악성 이메일 화면 리플라이 오퍼레이터 조직은 '대한민국 국세청', '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장', '이미지 사용 중지 요청' 등을 통해 랜섬웨어를 한국에 집중 유포하고 있습니다. 이번에 발견된 메일에도 다음과 같은 ‘reply-to’ 부분이 존재했..

악성코드 분석 리포트 2019. 5. 8. 08:48

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 마블 스튜디오의 어벤져스 시리즈 "어벤져스 : 엔드게임"이 국내/외에서 많은 관심을 받고 있는 상황에서사용자의 정보를 가로채는 피싱 사이트가 발견되어 사용자들의 각별한 주의가 필요합니다. [그림 1] 어벤져스 : 엔드게임 무료 시청 피싱 사이트 피싱 사이트는 사용자가 검색을 통해 접속하는 방식으로 사회공학(Social Engineering)기법이 사용 되었습니다. 현재 다수의 웹사이트를 제작 한 것으로 보이며 시큐리티대응센터(ESRC)에서는 관련 사이트를 지속적으로 추적 중입니다. 사용자가 피싱 사이트에 접속하게 되면 "어벤져스 : 엔드게임" 영상을 무료로 볼 수 있다고 설명하고 있으며, 실제 영상 플레이를 클릭하게 되면 몇 초간 영상이 ..

악성코드 분석 리포트 2019. 5. 7. 18:03

■ 학술회의 프로그램을 위장한 APT 공격 등장 안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2019년 04월 10일 제작된 새로운 HWP 악성 문서파일이 발견되었고, 정부 후원을 받고 있는 '금성121(Geumseong121)'이 위협 배후에 있는 것으로 확인되었습니다. ESRC에서는 이번 APT(지능형지속위협) 공격이 지난 4월 경 은밀하게 수행됐을 것으로 의심하고 있으며, 식별된 악성 파일의 이름은 '[한국정치학회] 춘계학술회의 프로그램.hwp' 입니다. [그림 1] HWP 악성 문서 파일의 내부 스트림 화면 ■ 금성121, 매우 활발한 사이버 스파이 위협 조직 'BIN0001.eps' 파일 내부에는 다음과 같은 포스트 스크립트(Post Script) 코드가 포함되어 있으며, ..

악성코드 분석 리포트 2019. 5. 2. 16:37

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 02일) '요청자료'라는 MS Excel(.xls) 파일을 위장한 악성 파일이 포함된 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다. [그림 1] '요청자료'를 위장한 악성 피싱 메일1 [그림 2] '요청자료'를 위장한 악성 피싱 메일2 두 메일은 모두 발신자명이 '최성은'으로 동일하며, 도메인은 각기 다른 것을 확인하실 수 있습니다. 또한 메일 제목은 '서류(두번째)'라는 수신자의 흥미를 끌만한 타이틀로 작성되어 있습니다. 메일 내용 또한 '파일보내드립니다.'라는 짧은 문구와 '요청자료2.xls'이라는 MS Excel 파일을 첨부해 해당 메일을 받은 담당자가 확인할 자료가 있는지 헷갈리도록 만들었습니다. 메일에..

악성코드 분석 리포트 2019. 5. 2. 14:50