안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 지난 01월 02일 【암호화폐 내용의 Konni APT 캠페인과 '오퍼레이션 헌터 아도니스'】 보고서를 공개한 바 있는데, 최근 이들의 사이버 위협 활동이 또 다시 감지되고 있습니다. File Name 요청주신 정책 관련 자료.doc (BlueSky) MD5 0eb6090397c74327cd4d47819f724953 C2 filer1.1apps[.]com File Name 젠트리온 지갑 관련자료.doc (BlueSky) MD5 2bfbf8ce47585aa86b1ab90ff109fd57 C2 filer2.1apps[.]com 한국어를 구사하는 대표적인 APT 위협 그룹 중에 하나인 'Konni' 조직은 아직도 베일에 쌓여있습니다. 최근 변..

악성코드 분석 리포트 2019. 5. 16. 01:38

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 15일) 오전 '입사지원 합니다'라는 입사 지원서를 사칭한 피싱 메일이 유포되고 있어 채용 담당자분들의 주의가 필요합니다. 이번에 포착된 피싱 메일은 어제 발견된 견적 요청 메일에서 제목과 내용만 약간 수정되었을 뿐, 전반적으로 비슷한 형태를 띠고 있습니다. [그림 1] 입사지원서를 사칭한 피싱 메일 화면 해당 메일에는 '(OOO)이력서.alz'라는 '(지원자명)이력서' 형태의 제목을 가진 압축 파일(alz)이 첨부되어 있습니다.(지원자명의 경우 피싱메일에 따라 상이할 수 있습니다.) 채용 담당자가 해당 메일을 입사 지원서 관련 파일로 착각하여 압축 해제하면, 다음과 같이 PDF 문서(.pdf)를 위장한 악성 실행 파일이..

악성코드 분석 리포트 2019. 5. 15. 14:36

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 14일) 오전 '견적 요청 드려요'라는 피싱 메일이 급격하게 다량으로 유포되고 있어 사용자들의 주의가 필요합니다. [그림 1] 견적 요청을 위장한 피싱 메일 화면 해당 메일에는 '견적요청.alz'라는 알집 파일(alz)이 첨부되어 있습니다. 해당 악성 파일을 견적요청 파일로 착각하여 압축 해제하면, 다음과 같이 MS Word 문서(.doc)를 위장한 악성 실행 파일이 들어 있습니다. [그림 2] MS Word 문서 파일을 위장한 악성 파일1 악성 실행 파일은 '견적요청.doc(빈공백).exe'이라는 이중 확장자 형태이며, 자세히 확인하지 않으면 해당 파일을 Word 문서 파일로 착각할 가능성이 높습니다. 또한, 큰 아이콘..

악성코드 분석 리포트 2019. 5. 14. 10:32

안녕하세요? 이스트시큐리티 시큐리티 대응센터(이하 ESRC) 입니다. 지난 04월 17일 "한ㆍ미 겨냥 APT 캠페인 '스모크 스크린' Kimsuky 실체 공개" 리포팅을 통해 한국과 미국을 대상으로 은밀하게 수행 중인 APT 공격의 배후가 드러난 바 있습니다. 약 한달이 지난 지금까지도 '스모크 스크린' 캠페인을 벌인 조직의 대남, 대미 사이버 첩보 활동이 멈추지 않고 있습니다. 흥미로운 점은 이들이 한국과 미국을 상대로 스피어 피싱(Spear Phishing) 공격을 수행하면서, 보안 탐지 시스템을 간단하게 우회하고 있다는 것입니다. ■ 보안 기밀 문서로 위장한 연막(스모크 스크린) 작전 배경 ESRC는 한국과 미국의 북한관련 분야에 종사하는 전문직만 겨냥한 이들의 활동을 관찰하고 분석하면서 공통적인..

악성코드 분석 리포트 2019. 5. 13. 17:34

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 13일) 오전 국내 조선사를 사칭한 견적 의뢰 요청 건이라는 피싱 메일이 유포되어 사용자들의 주의가 필요합니다. [그림 1] 국내 조선사를 사칭한 피싱 메일 화면 해당 피싱 메일은 다음(daum) 도메인인 'hanmail.net'를 사용하였으며, 첨부된 대용량 파일이 아래 그림과 같이 링크를 통해 다운로드됩니다. [그림 2] 악성 대용량 파일 다운로드 화면 메일에 첨부된 대용량 파일은 각각 ACE 압축 포맷과 ZIP 압축 포맷의 압축 파일이며 해당 파일을 압축 해제하면 PDF 파일을 위장한 악성 실행파일이 들어 있습니다. [그림 3] 압축 파일 안의 악성 파일 화면 압축 파일 안에는 아래 그림과 같이 이중 확장자 형태(,..

악성코드 분석 리포트 2019. 5. 13. 15:22

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 08일) 오전부터 '수정 부분 번역 요청' 혹은 '서류'라는 MS Excel(.xls) 파일을 위장한 악성 파일이 포함된 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다. 이 피싱 메일은 지난 5월 2일에도 대량으로 유포된 적이 있었던 바 있습니다. ※ 관련글 보러가기 ▶ 유출된 소스코드 기반으로 제작된 악성코드 유포 주의 (2019.02.14)▶ Trojan.Ransom.Clop 악성코드 분석 보고서 (2019.03.22)▶ 클롭(Clop) 랜섬웨어 유포 조직이 진행하는 기업 타깃 대량공격 주의! (2019.04.24)▶ TA505 조직, 요청자료 엑셀문서처럼 위장해 한국에 악성 이메일 유포 중 (2019.05...

악성코드 분석 리포트 2019. 5. 8. 11:27

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 2019년 5월 7일, ESRC에서는 리플라이 오퍼레이터(Reply Operator) 조직이 FAX 문서와 관련된 악성 메일을 유포한 정황을 확인하였습니다. 어제 오전 포착된 이 메일은 WiseFAX 문서.rar 이라는 RAR 파일을 첨부하였으며, FAX를 확인하라는 메시지와 함께 사용자들의 클릭을 유도했습니다. [그림 1] FAX 문서를 사칭한 악성 이메일 화면 리플라이 오퍼레이터 조직은 '대한민국 국세청', '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장', '이미지 사용 중지 요청' 등을 통해 랜섬웨어를 한국에 집중 유포하고 있습니다. 이번에 발견된 메일에도 다음과 같은 ‘reply-to’ 부분이 존재했..

악성코드 분석 리포트 2019. 5. 8. 08:48

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 마블 스튜디오의 어벤져스 시리즈 "어벤져스 : 엔드게임"이 국내/외에서 많은 관심을 받고 있는 상황에서사용자의 정보를 가로채는 피싱 사이트가 발견되어 사용자들의 각별한 주의가 필요합니다. [그림 1] 어벤져스 : 엔드게임 무료 시청 피싱 사이트 피싱 사이트는 사용자가 검색을 통해 접속하는 방식으로 사회공학(Social Engineering)기법이 사용 되었습니다. 현재 다수의 웹사이트를 제작 한 것으로 보이며 시큐리티대응센터(ESRC)에서는 관련 사이트를 지속적으로 추적 중입니다. 사용자가 피싱 사이트에 접속하게 되면 "어벤져스 : 엔드게임" 영상을 무료로 볼 수 있다고 설명하고 있으며, 실제 영상 플레이를 클릭하게 되면 몇 초간 영상이 ..

악성코드 분석 리포트 2019. 5. 7. 18:03