안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 4월 19일) ESRC에서는 비너스락커(Venus Locker) 그룹이 또다시 입사지원서를 위장한 갠드크랩 v5.2을 유포한 정황을 포착하였습니다. [그림 1] 입사지원서를 위장한 악성 메일 이미지 금일 발견된 입사지원서 사칭 메일 역시 지난 8일 발견된 입사지원서 사칭 메일과 동일하게 .egg 확장자의 알집 파일이 첨부되어 있었습니다. 또한, 발신자 주소로 한국에서 많이 사용하는 네이버를 사용했다는 점도 주목해 볼 만합니다. 최근 비너스락커(Venus Locker) 그룹은 알집 EGG 압축 포맷을 사용하여 변종들을 다량 유포하고 있는 중입니다. 첨부된 압축 파일을 해제하면 악성 파일을 PDF, JPG 1차 확장자로 위장하고 있..

악성코드 분석 리포트 2019. 4. 19. 13:30

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 04월 19일) 다음 커뮤니케이션(Daum Communications)을 사칭한 영문 피싱 메일이 포착되었습니다. [그림 1] 다음 커뮤니케이션을 사칭한 영문 피싱 메일 공격자는 “Final Warning: Your Account Will Be Blocked Soon!”이라는 제목으로 피싱 메일을 유포했습니다. 그리고 메일 도메인으로 hanmail.net을 사용함으로써 다음에서 온 공지사항인 것처럼 보이려고 노력했습니다. 본문에는 메일 계정이 중지된 상태이며, 계정 서비스 종료를 막기 위해 이메일에 첨부된 링크로 들어가 메일 계정을 확인하라고 유도하고 있습니다. 또한, 공격자는 다음 이용 약관을 이야기하며 사용자를 속이려고 시도..

악성코드 분석 리포트 2019. 4. 19. 10:05

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. ESRC에서는 한국의 대북관련 분야에 종사하는 인물을 대상으로 4월 11일 기준 스피어 피싱(Spear Phishing) 공격이 수행된 것을 발견했습니다. 이는 지난 04월 03일 【최근 한반도 관련 주요국 동향】, 【3.17 미국의 편타곤 비밀 국가안보회의】 내용으로 전파된 '스텔스 파워(Operation Stealth Power)' 작전의 APT 공격 연장 활동으로 드러났으며, 2014년 한국수력원자력(한수원) 해킹 공격 배후와 동일 조직으로 밝혀졌습니다. [English Version] Analysis of the APT Campaign ‘Smoke Screen’ targeting to Korea and US [그림 1] 한미정상회..

악성코드 분석 리포트 2019. 4. 17. 09:58

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 04월 15일) 대우조선해양으로 사칭한 피싱 메일이 유포되어 사용자들의 주의가 필요합니다. [그림 1] 대우조선해양을 사칭한 피싱 메일 이 피싱 메일에는 “...DSME INQUIRY...” 제목의 대우조선해양 견적참여 요청이라는 내용이 들어있으며, HTML 형태의 파일이 첨부되어 있습니다. [피싱 메일 본문 내용]DSME]대우조선해양에서 견적참여 요청첨부 파일을 열어주세요 견적의뢰번호: KR5564300견적 마감일: 2018.10.22https://icops.dsme.co.kr 사용자가 만약 HTML 파일을 실행하면 다음과 같이 코리아닷컴 페이지를 위장한 피싱 페이지가 열리게 됩니다. [그림 2] 코리아닷컴을 위장한 피싱 페이..

악성코드 분석 리포트 2019. 4. 15. 11:17

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 비너스락커 그룹이 '이미지 저작권 위반'의 내용이 담긴 악성 메일로 GandCrab v5.2 랜섬웨어를 유포하고 있어, 이용자들의 주의를 당부드립니다. 이번에 발견된 메일에는 개인 작가의 이미지를 무단으로 사용해 저작권을 위반했다는 내용이 담겨 있으며, 이미지 확인을 위해 첨부 파일(.egg) 실행을 유도합니다. [그림 1] '이미지 저작권 위반 안내'가 담긴 악성 메일 첨부 파일 '원본이미지.egg'에는 실제 이미지와 문서로 위장한 파일이 아래와 같이 들어있습니다. (메일 첨부파일마다 조금씩 상이할 수 있습니다.)- 원본이미지.jpg(긴공백).exe [그림 2] 첨부파일 '원본이미지.egg' 이용자가 이미지를 보기 위해 jpg 파일로 위..

악성코드 분석 리포트 2019. 4. 11. 14:49

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 4월 8일) 입사지원서를 위장한 갠드크랩 v5.2을 새롭게 유포한 정황이 포착되어 사용자들의 주의가 필요합니다. 해당 악성 메일은 기존에 갠드크랩을 유포하던 비너스락커(Venus Locker) 그룹인 것으로 밝혀졌습니다. [그림 1] 입사지원서를 위장한 악성 메일 이미지 금일 발견된 입사지원서 사칭 메일은 .egg 확장자의 알집 파일이 첨부되어 있는 것이 특징입니다. 첨부된 파일을 압축 해제하면 압축파일 내에는 그림과 같이 긴 공백을 포함하며, pdf 파일을 위장한 exe 실행파일과 증명서라는 jpg 그림파일이 들어있습니다. (메일 첨부파일마다 조금씩 상이할 수 있습니다.) [그림 2] 악성 파일 내용 공격자는 파일명에 긴 공백..

악성코드 분석 리포트 2019. 4. 8. 13:37

안녕하세요? 이스트시큐리티 시큐리티대응센터 (이하 ESRC) 입니다. 2019년 04월 01일 【최근 한반도 관련 주요국 동향】이라는 내용과 【3.17 미국의 편타곤 비밀 국가안보회의】 등의 내용으로 스피어 피싱(Spear Phishing) 공격이 수행되고 있음을 확인했습니다. 파일명은 다르지만, 두개의 파일은 같은 공격기법과 내용을 담고 있으며, 미국 국방부 건물인 펜타곤(PENTAGON) 표현에서는 '편타곤'으로 일부 오타가 존재합니다. 이번 지능형지속위협(APT) 공격을 받은 곳들은 주로 외교·안보·통일분야 및 대북/탈북단체 등에서 활동하는 곳들 입니다. ESRC에서는 지난 3월 21일 워터링 홀(Watering Hole) 공격 '오퍼레이션 로우 킥(Operation Low Kick)'을 보고한 바..

악성코드 분석 리포트 2019. 4. 3. 11:37

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 최근 2019.03.30~2019.04.01에 걸쳐 대한민국 국세청 및 경찰청을 사칭한 악성 이메일을 포착하였습니다. [그림 1] 국세청 및 경찰청을 사칭한 악성 이메일 화면 최근 이 갠드크랩 유포 조직은 '대한민국 국세청', '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등을 통해 랜섬웨어를 한국에 집중 유포하고 있습니다. 이들 조직은 기존 '[비너스락커] 랜섬웨어 유포 조직'과는 확연히 구분되고 있으며 어눌한 한국어를 사용하는 것이 특징인 조직이었습니다. 해당 조직의 eml 파일 내부 분석 결과, 'reply-to' 부분이 공통적으로 존재한다는 고유 특징을 발견했습니다. [그림 2] eml 파일 내부의..

악성코드 분석 리포트 2019. 4. 2. 17:01