안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 2019년 03월 26일(현지시간) 이스라엘의 하레츠 매체에 따르면, 북한 연계 해커조직 라자루스(Lazarus)가 이스라엘의 특정 회사에 대한 사이버 공격 정황이 포착되었다고 밝혔습니다. [그림 1] 이스라엘 보도 내용 (출처: North Korean Hackers Cited in Rare Attack in Israel) ■ 이스라엘 군수업체를 공격한 라자루스(Lazarus) 정부후원 연계 해킹 조직 ESRC에서는 이와 관련된 OSINT 기반 정보를 활용해 어떤 공격이 수행되었는지 조사하였습니다. 먼저 해당 위협은 스피어 피싱(Spear Phishing) 공격을 통해 내부 침투를 시도했습니다. 공격 대상은 이스라엘 국가가 전액 출자한 국방산..

악성코드 분석 리포트 2019. 3. 27. 10:13

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 금일(2019년 03월 25일) 오후, ESRC에서는 새로운 헌법재판소 사칭 악성 이메일을 포착하였습니다. 해당 메일은 아래 그림과 같이 내용이 깨진 상태로 유포되었으나, 1시간 뒤에 제대로 된 내용의 메일을 재유포 하였습니다. [그림 1] 본문 내용이 깨진 상태의 악성 이메일 화면 최근 이 갠드크랩 유포 조직은 '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등을 통해 랜섬웨어를 한국에 집중 유포하고 있습니다. 이들 조직은 기존 '[비너스락커] 랜섬웨어 유포 조직'과는 확연히 구분되고 있으며 어눌한 한국어를 사용하는게 특징인 조직이었습니다. 하지만 최근에 이 조직은 이전에 발견된 내용과 달리 한국어 표현이..

악성코드 분석 리포트 2019. 3. 25. 16:27

안녕하세요? 이스트시큐리티입니다. 구글 플레이스토어의 취약한 보안으로 인하여 플레이스토어를 통한 악성앱 유포가 빈번하게 발생하고 있습니다. 안드로이드를 사용하는 유저수가 많다는 것을 고려하면 매우 위험한 상황입니다. 이렇게 유포되는 악성앱의 목적은 정보 탈취, 스파이 행위, 금전 갈취 등으로 다양합니다. Trojan.Android.InfoStealer는 피해자의 스마트폰을 통한 암호화폐 탈취가 목적이며 탈취한 암호화폐를 금전으로 환전합니다. 2017년부터 세계적으로 암호화폐 열풍이 불어 많은 사람들이 암호화폐 거래를 시작하는 계기가 되었습니다. 이와 함께 해커들은 암호화폐를 노리는 공격을 시도하거나 랜섬웨어를 유포 후 피해자의 파일을 암호화하고 암호 해제 대가로 암호화폐를 요구하고 있습니다. 해커들이 암..

악성코드 분석 리포트 2019. 3. 25. 08:30

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 대표적인 컴퓨터 보안 프로그램 중에 하나인 백신 프로그램(Anti-Virus 또는 Anti-Malware)은 전 세계적으로 다양한 형태가 존재합니다. 물론, 북한에서도 이런 프로그램을 개발하고 있고, 대표적인 것 중에 '클락새(Kulak)' 라는 이름의 백신프로그램이 존재합니다. 이는 마치 '벌레를 잡아먹는 새'의 상징적 의미처럼, 컴퓨터에 존재하는 웜(악성 코드)을 제거한다는 의미를 가지고 있으며, 북한에서는 '백신' 대신 '왁찐' 이라는 한글 표기를 쓰고 있습니다. ※ 출처 : https://ko.wiktionary.org/wiki/왁찐 이외에도 '신기(Singi)', '실리 왁찐(Sili Anti-Virus)' 등의 윈도우용 백신 ..

악성코드 분석 리포트 2019. 3. 23. 23:11

안녕하세요? 이스트시큐리티입니다. 2019년 2월, 기업에서 사용하는 중앙관리 서버(AD서버)를 주요 타깃으로 공격을 하는 랜섬웨어가 발견되었습니다. 개인이 아닌 기업들을 주요 공격 대상으로 하기 때문에 이미 한국 인터넷진흥원에서도 2월 22일 주의 공지를 게재한 적이 있습니다. 해당 악성코드에 감염되면 관리 서버에 연결된 모든 드라이브가 전부 암호화되고 유효한 인증서를 사용하기 때문에 사용자들의 각별한 주의가 필요합니다. [그림 1] 인증서 화면 따라서 본 보고서에서는 Clop 랜섬웨어의 악성 행위와 이를 예방하기 위한 방법을 알아보고자 합니다. 악성코드 상세 분석 1. 중복 실행 방지 중복 실행을 방지하기 위해 ‘Mutex’를 사용합니다. 뮤텍스의 이름은 ‘HappyLife^_.’이며, 만약 뮤텍스가..

악성코드 분석 리포트 2019. 3. 22. 11:31

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 2019년 03월 20일 한국의 공공·민간기관의 정책을 연구하는 웹 사이트와 남북통일을 연구하는 특정 학술단체의 홈페이지 등이 복수로 해킹되어 악성코드를 은밀히 유포 시도하는 정황이 포착되었습니다. 해당 웹 사이트들은 외교·안보·통일분야에 소속되어 있거나, 북한관련 연구분야에 종사하는 사람들이 제한적으로 접속하는 곳들입니다. ESRC는 해당 웹 사이트에 악의적인 취약점 코드가 삽입되어 있는 것을 확인했고, 식별되지 않은 다른 사이트에서도 유사위협 발생 가능성을 배제하지 않고 있습니다. ■ 김수키(Kimsuky) APT 그룹, '오퍼레이션 로우 킥(Operation Low Kick)' ESRC에서는 이번 특정 웹 사이트들의 침해 사고들이 ..

악성코드 분석 리포트 2019. 3. 21. 02:16

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 금일(2019년 03월 20일) ESRC에서는 새로운 헌법재판소 사칭 악성 이메일을 포착하였습니다. 헌법재판소를 사칭한 악성이메일은 2019년 02월 25일부터 내용이 수정된 버전으로 꾸준히 유포되고 있습니다. 최근 이 갠드크랩 유포 조직은 '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등을 통해 랜섬웨어를 한국에 집중 유포하고 있습니다. 이들 조직은 기존 '[비너스락커] 랜섬웨어 유포 조직'과는 확연히 구분되고 있으며 어눌한 한국어를 사용하는게 특징인 조직이었습니다. 하지만 최근에 이 조직은 이전에 발견된 내용과 달리 한국어 표현이 많이 자연스러워졌으며 금일 발견된 헌법 재판소 사칭 이메일에서도 자연스러..

악성코드 분석 리포트 2019. 3. 20. 17:27

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2019년 03월 18일, 마치 이력서 원본을 보내는 것처럼 위장한 APT(지능형지속위협) 공격이 식별됐습니다. 주로 한국의 대북관련 분야에 활동하는 인사들에게 집중적으로 공격이 진행된 정황을 포착했습니다. 공격을 수행한 '금성121(Geumseong121)' 위협조직은 이메일에 악성 파일을 첨부해 발송하는 이른바 스피어 피싱(Spear Phishing) 공격기법을 활용했고, 암호화된 압축 파일을 사용해 1차 탐지회피를 계획한 나름 투트랙 피싱 전략을 구사했습니다. 실제 공격에 사용된 해킹 공격 이메일은 다음과 같고, 마치 원본 메일이 전달된 것으로 위장했습니다. [그림 1] 실제 공격에 사용된 스피어 피싱(Spear Phishing) 이..

악성코드 분석 리포트 2019. 3. 20. 01:49