안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 FYI 제목으로 피싱 파일이 첨부되어 있는 이메일이 유포되고 있어 사용자들의 주의가 필요합니다. FYI는 "For your information"의 줄임말로, "참고하세요"라는 뜻을 가지고 있습니다. 보편적으로 외국에서 업무 관련하여 이메일 전달 시 많이 사용하고 있는 단어이지만 국내에서는 생소한 단어일 수 있습니다. 이번에 발견된 메일에서는 BL Copy.html, Packing List.html 같이 선하증권 또는 포장명세서로 위장된 첨부 파일이 확인되었습니다. [그림1] FYI 제목으로 유포 된 이메일 화면 첨부 된 파일을 클릭 하게 되면 관련 내용을 보기 위해 [Microsoft Excel 2016 로그인 요청 화면]이 보여지게 됩..

악성코드 분석 리포트 2019. 5. 31. 14:12

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 31일), 사용자의 이메일 주소가 스팸하우스 블랙리스트에 올라갔다는 내용의 피싱 메일이 유포되고 있습니다. 스팸하우스는 스팸과 피싱, 맬웨어, 봇넷 등 관련 사이버 위협을 추적하고, 실시간으로 위협 및 평판 차단 목록을 제공하는 국제 비영리 단체입니다. 또한 ESRC에서는 이번에 포착된 피싱 메일은 신종 랜섬웨어 'Sodinokibi'를 감염자 PC에 다운로드하고 실행시키며, 리플라이 오퍼레이터 그룹이 유포한 것으로 확인되었습니다. [그림 1] 스팸하우스 블랙리스트 피싱 메일 화면 금일 발견된 피싱 메일은 다양한 문구의 메일 제목으로 유포되었으며, 사용자의 메일이 스팸처리되었다는 내용을 담고 있습니다. [그림 2] 다양한..

악성코드 분석 리포트 2019. 5. 31. 14:08

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 (2019년 05월 30일), 국세청을 사칭하고 '송장'이라는 메일 제목으로, 악성 파일을 포함한 메일이 유포되고 있어 세금계산서 담당자 및 기업의 회계 담당자분들의 주의가 필요합니다. 해당 악성 메일에는 국세청 홈택스에서 보낸 것처럼 "국세청 전자[세금]계산서" 발급 안내 이미지를 포함하고 있으며, 첨부파일 또한 "eTaxInvoice"라는 이름으로 사용자가 별다른 의심 없이 첨부파일을 다운로드할 가능성이 높습니다. ESRC에서는 해당 피싱 메일이 TA505 조직이 유포한 것으로 추정하고 있으며, TA505 조직이 유포하는 악성 메일 내용이 더욱 정교해지고 있습니다. [그림 1] 국세청 인보이스를 사칭한 악성 피싱 메일 이번에 발견된 악..

악성코드 분석 리포트 2019. 5. 30. 10:36

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 (2019년 05월 29일), '정리 해고 및 감면 목록'이라는 자극적인 메일 제목으로, 악성 파일을 포함한 피싱 메일이 유포되고 있어, 사용자들의 각별한 주의가 필요합니다. [그림 1] 해고 안내를 위장한 악성 피싱 메일 ESRC에서는 리플라이 오퍼레이터 조직이 해당 피싱 메일을 유포한 것으로 추정하고 있으며, 리플라이 오퍼레이터 조직은 지난 5월 28일에도 비슷한 유형의 악성 파일을 유포했습니다. [그림 2] 리플라이 오퍼레이터 조직이 유포한 피싱 메일 비교 이번에 발견된 피싱 메일에는 기존에 유포했던 피싱 메일에 사용한 동일한 도메인이 사용되었으며, 피싱 메일에 첨부된 압축 파일 해제 용도의 비밀번호를 본문에 첨부한 점이 동일합니다...

악성코드 분석 리포트 2019. 5. 29. 11:17

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 금일 오전 경찰청 사이버 안전국을 사칭한 스피어 피싱(Spear Phishing) 공격이 포착되었고, 이번 APT 공격도 김수키(Kimsuky) 조직이 연루된 것으로 분석됐습니다. ESRC는 이 공격을 조사하는 과정중에 굉장히 흥미로운 점을 확인할 수 있었습니다. [그림 1] 사이버 안전국 사칭한 해킹 이메일 화면 이 APT 공격이 금일 공개한 '[긴급] 김수키 조직, 한국 암호화폐 거래소 이벤트 사칭 APT 공격 발생' 블로그 포스팅의 연장선에 있다는 것이 확인되었기 때문입니다. 2018-02-12 오퍼레이션 김수키(Kimsuky)의 은밀한 활동, 한국 맞춤형 APT 공격은 현재 진행형 2018-05-28 판문점 선언 관련 내용의 문서..

악성코드 분석 리포트 2019. 5. 28. 16:43

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 (2019년 05월 28일), 국세청을 사칭하고 '피고인 심문에 대한 소한 안건'이라는 메일 제목으로, 악성 파일을 포함한 메일이 유포되고 있습니다. ESRC에서는 해당 피싱 메일이 TA505 조직이 유포한 것으로 추정하고 있으며, TA505 조직은 지난 5월 21일에도 대량으로 비슷한 악성 파일을 유포했습니다. [그림 1] 한국 국세청을 사칭한 악성 피싱 메일 이번에 포착한 악성 메일을 분석한 결과, 지난 3월 리플라이 오퍼레이터 조직이 유포한 메일의 본문 내용을 그대로 참고한 것을 알 수 있었습니다. [그림 2] 리플라이 오퍼레이터 vs TA505 국세청 사칭 메일 이번에 발견된 메일에도 기존과 동일하게 악성 Excel 파일이 첨부되어..

악성코드 분석 리포트 2019. 5. 28. 15:22

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 2019년 05월 28일 한국의 유명 암호화폐 거래소의 이벤트 경품 수령 안내로 사칭한 APT 공격이 포착되었습니다. ESRC는 이 공격의 배후에 이른바 김수키(Kimsuky) 조직이 있는 것으로 확신하고 있습니다. 최근 비트코인이 원화로 약 1,000만원 선을 돌파했습니다. 이런 가운데 특정 정부의 지원을 받는 위협조직들의 활동이 증가하고 있어 각별한 주의가 요망됩니다. 아래 화면은 실제 공격에 사용된 이메일의 화면 중 일부로, 특정 암호화폐 거래소에서 발송한 것처럼 교묘하게 위장하고 있습니다. 이들 공격조직은 얼마전까지 한국의 통일부를 사칭해 APT 공격을 수행하고 있었습니다. 이메일 제목은 '[안내]업비트 보디엑스(VDX) 상장 이..

악성코드 분석 리포트 2019. 5. 28. 14:06

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 28일), '형사 사건번호'라는 제목으로 헌법 재판소를 사칭한 피싱 메일이 유포되고 있어, 사용자들의 주의가 필요합니다. 이번에 포착된 피싱 메일에는 'VegaLocker' 변종을 감염자 PC에 다운로드하고 실행시키는 것으로 조사되었으며, "리플라이 오퍼레이터(Reply Operator)" 그룹이 유포한 것으로 확인되었습니다. [그림 1] 헌법 재판소를 사칭한 피싱 메일 화면 피싱 메일에는 'Documents.zip'라는 압축 파일(.zip)이 첨부되어 있습니다. 특이한 점은 이전에 발견된 메일과 달리 보관 '파일의 비밀번호'라는 내용이 추가된 점입니다. 해당 메일을 받은 사용자가 사건과 관련된 서류로 착각해 압축을 해제..

악성코드 분석 리포트 2019. 5. 28. 10:16