안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 04월 24일) 국내 중소기업(Hi-*******, 두**)으로 사칭한 피싱 메일이 유포되어 사용자들의 주의가 필요합니다. [그림 1] Hi-******* 사칭한 피싱 메일 [그림 2] 두** 사칭한 피싱 메일 두 메일은 모두 다음 도메인을 이용했는데, 각각 'daum.net', 'hanmail.net'를 사용하였으며, 대용량 파일을 첨부했습니다. 발견된 피싱 메일의 세부 정보 및 본문 내용은 아래와 같습니다. [두** 사칭 피싱 메일] 메일제목 FB1905466_001_12_PINQ_2019041 첨부파일명 FB1905466_001_12_PINQ_20190419,xlsx.ace FB1905466_001_12_PINQ_20190..

악성코드 분석 리포트 2019. 4. 24. 11:49

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 지난 2019년 04월 22일 마치 한국의 통일부에서 배포한 보도자료 해명자료처럼 둔갑한 스피어 피싱(Spear Phishing) 공격 정황이 포착되었습니다. ESRC에서는 해당 공격이 2018년 중순 발견되었던 통일부 사칭 사례와 일치함을 확인하였습니다. ■ '오퍼레이션 페이크 뉴스(Operation Fake News)' 명명 2018년 6월부터 7월까지 유사한 공격이 지속적으로 보고되었고, 모두 통일부를 사칭한 공통점이 존재합니다. 저희는 "금성121 그룹의 남북이산가족찾기 전수조사 사칭 이메일 주의" 내용으로 동일 공격그룹의 실제 사례들을 공개한 바 있습니다. [그림 1] 통일부 보도자료 해명 자료로 위장한 이메일 화면 File Na..

악성코드 분석 리포트 2019. 4. 22. 20:55

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2019년 4월 19일, ESRC에서는 비너스락커(Venus Locker) 그룹으로 추정되는 입사지원서를 위장한 갠드크랩 v5.2 유포 정황을 포착하였습니다. [그림 1] 입사지원서를 위장한 악성 메일 이미지 최근 채용 시즌을 맞아 지속적으로 입사지원서 사칭 메일이 다양한 지원자 이름으로 유포되고 있습니다. 이번 악성 메일도 최근 2주간 발견된 입사지원서 사칭 메일과 동일하게 .egg 확장자의 알집 파일이 첨부되어 있었습니다. 메일 제목은 ‘성유리입니다.’라는 지원자가 보낸 메일처럼 작성하였고, 메일 내용 또한 간단하게 ‘안녕하세요! 공고 보고 연락 드려요’라고 작성되어 있습니다. 첨부된 압축 파일을 해제하면 DOC, JPG 확장자로 위장한 악..

악성코드 분석 리포트 2019. 4. 22. 11:02

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 2019년 4월 10일, ESRC에서는 리플라이 오퍼레이터(Reply Operator) 조직이 이미지 저작권 위반과 관련한 악성 메일을 유포한 정황을 확인하였습니다. 금일 오전 포착된 비너스락커(Venus Locker) 조직의 악성 메일과 동일하게 EGG 확장자의 알집 파일을 첨부하여 사용자들의 클릭을 유도했습니다. 리플라이 오퍼레이터 조직 또한 비너스락커 조직을 따라 하면서 계속 활동을 이어가고 있어, 사용자들의 각별한 주의가 필요합니다. [그림 1] 사진 편집자 및 디자이너를 사칭한 악성 이메일 화면 리플라이 오퍼레이터 조직은 '대한민국 국세청', '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장', '이미..

악성코드 분석 리포트 2019. 4. 19. 16:37

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 4월 19일) ESRC에서는 비너스락커(Venus Locker) 그룹이 또다시 입사지원서를 위장한 갠드크랩 v5.2을 유포한 정황을 포착하였습니다. [그림 1] 입사지원서를 위장한 악성 메일 이미지 금일 발견된 입사지원서 사칭 메일 역시 지난 8일 발견된 입사지원서 사칭 메일과 동일하게 .egg 확장자의 알집 파일이 첨부되어 있었습니다. 또한, 발신자 주소로 한국에서 많이 사용하는 네이버를 사용했다는 점도 주목해 볼 만합니다. 최근 비너스락커(Venus Locker) 그룹은 알집 EGG 압축 포맷을 사용하여 변종들을 다량 유포하고 있는 중입니다. 첨부된 압축 파일을 해제하면 악성 파일을 PDF, JPG 1차 확장자로 위장하고 있..

악성코드 분석 리포트 2019. 4. 19. 13:30

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 04월 19일) 다음 커뮤니케이션(Daum Communications)을 사칭한 영문 피싱 메일이 포착되었습니다. [그림 1] 다음 커뮤니케이션을 사칭한 영문 피싱 메일 공격자는 “Final Warning: Your Account Will Be Blocked Soon!”이라는 제목으로 피싱 메일을 유포했습니다. 그리고 메일 도메인으로 hanmail.net을 사용함으로써 다음에서 온 공지사항인 것처럼 보이려고 노력했습니다. 본문에는 메일 계정이 중지된 상태이며, 계정 서비스 종료를 막기 위해 이메일에 첨부된 링크로 들어가 메일 계정을 확인하라고 유도하고 있습니다. 또한, 공격자는 다음 이용 약관을 이야기하며 사용자를 속이려고 시도..

악성코드 분석 리포트 2019. 4. 19. 10:05

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. ESRC에서는 한국의 대북관련 분야에 종사하는 인물을 대상으로 4월 11일 기준 스피어 피싱(Spear Phishing) 공격이 수행된 것을 발견했습니다. 이는 지난 04월 03일 【최근 한반도 관련 주요국 동향】, 【3.17 미국의 편타곤 비밀 국가안보회의】 내용으로 전파된 '스텔스 파워(Operation Stealth Power)' 작전의 APT 공격 연장 활동으로 드러났으며, 2014년 한국수력원자력(한수원) 해킹 공격 배후와 동일 조직으로 밝혀졌습니다. [English Version] Analysis of the APT Campaign ‘Smoke Screen’ targeting to Korea and US [그림 1] 한미정상회..

악성코드 분석 리포트 2019. 4. 17. 09:58

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 04월 15일) 대우조선해양으로 사칭한 피싱 메일이 유포되어 사용자들의 주의가 필요합니다. [그림 1] 대우조선해양을 사칭한 피싱 메일 이 피싱 메일에는 “...DSME INQUIRY...” 제목의 대우조선해양 견적참여 요청이라는 내용이 들어있으며, HTML 형태의 파일이 첨부되어 있습니다. [피싱 메일 본문 내용]DSME]대우조선해양에서 견적참여 요청첨부 파일을 열어주세요 견적의뢰번호: KR5564300견적 마감일: 2018.10.22https://icops.dsme.co.kr 사용자가 만약 HTML 파일을 실행하면 다음과 같이 코리아닷컴 페이지를 위장한 피싱 페이지가 열리게 됩니다. [그림 2] 코리아닷컴을 위장한 피싱 페이..

악성코드 분석 리포트 2019. 4. 15. 11:17