안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 (2019년 05월 29일), '정리 해고 및 감면 목록'이라는 자극적인 메일 제목으로, 악성 파일을 포함한 피싱 메일이 유포되고 있어, 사용자들의 각별한 주의가 필요합니다. [그림 1] 해고 안내를 위장한 악성 피싱 메일 ESRC에서는 리플라이 오퍼레이터 조직이 해당 피싱 메일을 유포한 것으로 추정하고 있으며, 리플라이 오퍼레이터 조직은 지난 5월 28일에도 비슷한 유형의 악성 파일을 유포했습니다. [그림 2] 리플라이 오퍼레이터 조직이 유포한 피싱 메일 비교 이번에 발견된 피싱 메일에는 기존에 유포했던 피싱 메일에 사용한 동일한 도메인이 사용되었으며, 피싱 메일에 첨부된 압축 파일 해제 용도의 비밀번호를 본문에 첨부한 점이 동일합니다...

악성코드 분석 리포트 2019. 5. 29. 11:17

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 금일 오전 경찰청 사이버 안전국을 사칭한 스피어 피싱(Spear Phishing) 공격이 포착되었고, 이번 APT 공격도 김수키(Kimsuky) 조직이 연루된 것으로 분석됐습니다. ESRC는 이 공격을 조사하는 과정중에 굉장히 흥미로운 점을 확인할 수 있었습니다. [그림 1] 사이버 안전국 사칭한 해킹 이메일 화면 이 APT 공격이 금일 공개한 '[긴급] 김수키 조직, 한국 암호화폐 거래소 이벤트 사칭 APT 공격 발생' 블로그 포스팅의 연장선에 있다는 것이 확인되었기 때문입니다. 2018-02-12 오퍼레이션 김수키(Kimsuky)의 은밀한 활동, 한국 맞춤형 APT 공격은 현재 진행형 2018-05-28 판문점 선언 관련 내용의 문서..

악성코드 분석 리포트 2019. 5. 28. 16:43

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 (2019년 05월 28일), 국세청을 사칭하고 '피고인 심문에 대한 소한 안건'이라는 메일 제목으로, 악성 파일을 포함한 메일이 유포되고 있습니다. ESRC에서는 해당 피싱 메일이 TA505 조직이 유포한 것으로 추정하고 있으며, TA505 조직은 지난 5월 21일에도 대량으로 비슷한 악성 파일을 유포했습니다. [그림 1] 한국 국세청을 사칭한 악성 피싱 메일 이번에 포착한 악성 메일을 분석한 결과, 지난 3월 리플라이 오퍼레이터 조직이 유포한 메일의 본문 내용을 그대로 참고한 것을 알 수 있었습니다. [그림 2] 리플라이 오퍼레이터 vs TA505 국세청 사칭 메일 이번에 발견된 메일에도 기존과 동일하게 악성 Excel 파일이 첨부되어..

악성코드 분석 리포트 2019. 5. 28. 15:22

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 2019년 05월 28일 한국의 유명 암호화폐 거래소의 이벤트 경품 수령 안내로 사칭한 APT 공격이 포착되었습니다. ESRC는 이 공격의 배후에 이른바 김수키(Kimsuky) 조직이 있는 것으로 확신하고 있습니다. 최근 비트코인이 원화로 약 1,000만원 선을 돌파했습니다. 이런 가운데 특정 정부의 지원을 받는 위협조직들의 활동이 증가하고 있어 각별한 주의가 요망됩니다. 아래 화면은 실제 공격에 사용된 이메일의 화면 중 일부로, 특정 암호화폐 거래소에서 발송한 것처럼 교묘하게 위장하고 있습니다. 이들 공격조직은 얼마전까지 한국의 통일부를 사칭해 APT 공격을 수행하고 있었습니다. 이메일 제목은 '[안내]업비트 보디엑스(VDX) 상장 이..

악성코드 분석 리포트 2019. 5. 28. 14:06

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 28일), '형사 사건번호'라는 제목으로 헌법 재판소를 사칭한 피싱 메일이 유포되고 있어, 사용자들의 주의가 필요합니다. 이번에 포착된 피싱 메일에는 'VegaLocker' 변종을 감염자 PC에 다운로드하고 실행시키는 것으로 조사되었으며, "리플라이 오퍼레이터(Reply Operator)" 그룹이 유포한 것으로 확인되었습니다. [그림 1] 헌법 재판소를 사칭한 피싱 메일 화면 피싱 메일에는 'Documents.zip'라는 압축 파일(.zip)이 첨부되어 있습니다. 특이한 점은 이전에 발견된 메일과 달리 보관 '파일의 비밀번호'라는 내용이 추가된 점입니다. 해당 메일을 받은 사용자가 사건과 관련된 서류로 착각해 압축을 해제..

악성코드 분석 리포트 2019. 5. 28. 10:16

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 22일), '헌법 재판소 전화', '헌법 재판소 청문 의제' 등의 제목으로 헌법 재판소를 사칭한 피싱 메일이 유포되고 있습니다. 이번에 포착된 피싱 메일은 신종 랜섬웨어 'Sodinokibi'를 감염자 PC에 다운로드하고 실행시키며, 리플라이 오퍼레이터 그룹이 유포한 것으로 확인되었습니다. [그림 1] 헌법 재판소를 사칭한 피싱 메일 화면 피싱 메일에는 '법원 서류.zip'라는 압축 파일(.zip)이 첨부되어 있습니다. 해당 메일을 받은 사용자가 법원 서류인 것으로 착각해 압축을 해제하면, '연락처 세부 정보.doc', '사건에 관한 서류.doc'라는 MS Word 문서(.doc)를 위장한 악성 링크 파일(.lnk)이 들..

악성코드 분석 리포트 2019. 5. 22. 15:57

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 PC 악성코드의 대부분은 랜섬웨어이며 복호화 대가로 암호화폐를 요구하고 있습니다. 이러한 흐름이 안드로이드에서도 빈번하게 나타나기 시작했습니다. 관련 앱은 기기 정보를 탈취하여 감염자를 구별하는 데 사용합니다. 외부 저장소의 폴더와 파일을 가리지 않고 저장된 모든 파일을 암호화합니다. 또한, 연락처도 암호화합니다. 이때 암호화에 사용되는 알고리즘은 AES이며 키값은 해커의 C&C를 통해서 얻어옵니다. 암호화폐를 이용하여 비용을 지불하면 복호화가 진행됩니다. 본 분석 보고서에서는 'Trojan.Android.Locker'를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 게임 앱 위장해당 악성 앱의 아이콘은 전 세계적으로 인기를 끈 ..

악성코드 분석 리포트 2019. 5. 22. 11:17

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 구글 검색을 통해 새로운 갠드크랩 랜섬웨어가 유포되고 있는 정황이 발견되었습니다. 이번에 발견된 신종 갠드크랩 랜섬웨어는 "검색명_[랜덤숫자].zip" 형태이며, 사용자가 특정 단어를 구글 사이트를 통해 검색 시, 검색 결과 상단에 노출되어 다운로드 및 실행을 유도합니다. [그림 1] 구글 검색 상단에 위치한 갠드크랩 유포 사이트 만약 사용자가 특정 프로그램을 무료로 다운로드하기 위해 해당 사이트에 들어가면 다음과 같은 다운로드 페이지를 확인할 수 있습니다. [그림 2] 사용자의 클릭을 유도하는 갠드크랩 유포 사이트 해당 링크를 클릭하면 아래와 같이 "검색명_링크_[랜덤숫자].zip" 형태의 압축파일이 다운로드됩니다. [그림 3] ZIP ..

악성코드 분석 리포트 2019. 5. 22. 09:59