안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 얼마전 2019년 03월 20일 "로켓맨 APT 캠페인, 오퍼레이션 골든 버드(Operation Golden Bird)" 리포트를 통해 '금성121(Geumseong121)' 조직이 HWP 문서기반 이력서를 사칭해 수행한 APT 공격 사례를 공개했습니다. 그리고 지난 01월 23일에는 "홀리데이 와이퍼(Operation Holiday Wiper)로 귀환한 로켓맨 APT 캠페인" 제목으로 이들이 XLS 문서파일을 활용한 스피어 피싱(Spear Phishing) 사례와 데이터 삭제 시도 정황도 포착한 바 있습니다. ESRC에서는 이들이 사이버 주무기로 활용한 공격벡터와 휴먼 인텔리전스에 주목하고 있으며, 그동안 알려지지 않았던 몇 가지 공격..

악성코드 분석 리포트 2019. 4. 2. 09:29

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 지난 03월 15일 안랩의 ASEC 분석팀에서는 '코인 지갑 프로그램(알리바바)과 함께 설치되는 악성코드' (2019. 03. 15) 포스팅을 통해 상세한 분석자료를 발표한 바 있습니다. 최근에 이 유형의 위협 시리즈가 주로 한국에서 발견되고 있고, 변종 유포 정황 역시 꾸준히 포착되고 있어 각별한 주의가 필요해 보입니다. 물론, 공격 벡터에 일부 차이가 있지만, 해외 보안업체를 통해 연관된 내용이 보고된 바 있는데, Paloalto Networks Unit42 에서 'New BabyShark Malware Targets U.S. National Security Think Tanks' (2019. 02. 22) 분석 내용을 공개한 바 있..

악성코드 분석 리포트 2019. 3. 28. 12:40

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 금일(2019년 03월 28일) 오전, ESRC에서는 대한민국 국세청을 사칭한 악성 이메일을 포착하였습니다. 국세청을 사칭한 만큼, 기업 회계 담당자들의 각별한 주의가 필요합니다. 금일 악성 메일을 유포한 이 조직은 기존 '[비너스락커] 랜섬웨어 유포 조직'과 유사한 방식으로 악성메일을 유포하였습니다. ESRC에서는 이전에 한국어를 어눌하게 사용하여 지마켓, 한국은행, 헌법 재판소를 위장해 갠드크랩을 유포하던 조직이 이젠 기존에 갠드크랩을 유포하던 비너스락커 조직을 모방하여 갠드크랩을 유포하고 있다고 추정하고 있습니다. 공격자는 대한민국 국세청을 영문으로 직역한 National Tax Service of South Korea 이름의 발신자 명..

악성코드 분석 리포트 2019. 3. 28. 11:16

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 2019년 03월 26일(현지시간) 이스라엘의 하레츠 매체에 따르면, 북한 연계 해커조직 라자루스(Lazarus)가 이스라엘의 특정 회사에 대한 사이버 공격 정황이 포착되었다고 밝혔습니다. [그림 1] 이스라엘 보도 내용 (출처: North Korean Hackers Cited in Rare Attack in Israel) ■ 이스라엘 군수업체를 공격한 라자루스(Lazarus) 정부후원 연계 해킹 조직 ESRC에서는 이와 관련된 OSINT 기반 정보를 활용해 어떤 공격이 수행되었는지 조사하였습니다. 먼저 해당 위협은 스피어 피싱(Spear Phishing) 공격을 통해 내부 침투를 시도했습니다. 공격 대상은 이스라엘 국가가 전액 출자한 국방산..

악성코드 분석 리포트 2019. 3. 27. 10:13

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 금일(2019년 03월 25일) 오후, ESRC에서는 새로운 헌법재판소 사칭 악성 이메일을 포착하였습니다. 해당 메일은 아래 그림과 같이 내용이 깨진 상태로 유포되었으나, 1시간 뒤에 제대로 된 내용의 메일을 재유포 하였습니다. [그림 1] 본문 내용이 깨진 상태의 악성 이메일 화면 최근 이 갠드크랩 유포 조직은 '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등을 통해 랜섬웨어를 한국에 집중 유포하고 있습니다. 이들 조직은 기존 '[비너스락커] 랜섬웨어 유포 조직'과는 확연히 구분되고 있으며 어눌한 한국어를 사용하는게 특징인 조직이었습니다. 하지만 최근에 이 조직은 이전에 발견된 내용과 달리 한국어 표현이..

악성코드 분석 리포트 2019. 3. 25. 16:27

안녕하세요? 이스트시큐리티입니다. 구글 플레이스토어의 취약한 보안으로 인하여 플레이스토어를 통한 악성앱 유포가 빈번하게 발생하고 있습니다. 안드로이드를 사용하는 유저수가 많다는 것을 고려하면 매우 위험한 상황입니다. 이렇게 유포되는 악성앱의 목적은 정보 탈취, 스파이 행위, 금전 갈취 등으로 다양합니다. Trojan.Android.InfoStealer는 피해자의 스마트폰을 통한 암호화폐 탈취가 목적이며 탈취한 암호화폐를 금전으로 환전합니다. 2017년부터 세계적으로 암호화폐 열풍이 불어 많은 사람들이 암호화폐 거래를 시작하는 계기가 되었습니다. 이와 함께 해커들은 암호화폐를 노리는 공격을 시도하거나 랜섬웨어를 유포 후 피해자의 파일을 암호화하고 암호 해제 대가로 암호화폐를 요구하고 있습니다. 해커들이 암..

악성코드 분석 리포트 2019. 3. 25. 08:30

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 대표적인 컴퓨터 보안 프로그램 중에 하나인 백신 프로그램(Anti-Virus 또는 Anti-Malware)은 전 세계적으로 다양한 형태가 존재합니다. 물론, 북한에서도 이런 프로그램을 개발하고 있고, 대표적인 것 중에 '클락새(Kulak)' 라는 이름의 백신프로그램이 존재합니다. 이는 마치 '벌레를 잡아먹는 새'의 상징적 의미처럼, 컴퓨터에 존재하는 웜(악성 코드)을 제거한다는 의미를 가지고 있으며, 북한에서는 '백신' 대신 '왁찐' 이라는 한글 표기를 쓰고 있습니다. ※ 출처 : https://ko.wiktionary.org/wiki/왁찐 이외에도 '신기(Singi)', '실리 왁찐(Sili Anti-Virus)' 등의 윈도우용 백신 ..

악성코드 분석 리포트 2019. 3. 23. 23:11

안녕하세요? 이스트시큐리티입니다. 2019년 2월, 기업에서 사용하는 중앙관리 서버(AD서버)를 주요 타깃으로 공격을 하는 랜섬웨어가 발견되었습니다. 개인이 아닌 기업들을 주요 공격 대상으로 하기 때문에 이미 한국 인터넷진흥원에서도 2월 22일 주의 공지를 게재한 적이 있습니다. 해당 악성코드에 감염되면 관리 서버에 연결된 모든 드라이브가 전부 암호화되고 유효한 인증서를 사용하기 때문에 사용자들의 각별한 주의가 필요합니다. [그림 1] 인증서 화면 따라서 본 보고서에서는 Clop 랜섬웨어의 악성 행위와 이를 예방하기 위한 방법을 알아보고자 합니다. 악성코드 상세 분석 1. 중복 실행 방지 중복 실행을 방지하기 위해 ‘Mutex’를 사용합니다. 뮤텍스의 이름은 ‘HappyLife^_.’이며, 만약 뮤텍스가..

악성코드 분석 리포트 2019. 3. 22. 11:31