안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2019년 3월 13일 오후경부터 한국은행을 사칭한 악성 이메일이 갠드크랩(GandCrab) v5.2를 유포중인 것으로 확인되어 주의가 필요합니다. 이번 이메일은 한국어로 작성된 것뿐만 아니라, 마치 중국어처럼 보이는 한문표기가 포함된 형태도 발견되었는데, 중국어 표기법에는 맞지 않는 의미없는 표기로 확인이 되었습니다. 그리고 발신자 명에 'Min Gap Ryong' 문구가 포함되어 있는 특징이 있습니다. [그림1] 한국은행을 위장한 악성 이메일 한글 버전 [그림2] 한국은행을 위장한 의미없는 문자의 악성 이메일 지난 2월 27일 한국은행을 사칭한 악성 이메일 역시 갠드크랩 랜섬웨어가 첨부된 압축 파일을 포함하고 있었습니다. ※ 관련글 보기 ▶..

악성코드 분석 리포트 2019. 3. 14. 11:48

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 금일(2019년 03월 11일) ESRC에서는 알집 압축파일 확장자(.egg)를 이용해 RAT을 이메일로 유포하는 공격을 포착하였습니다. 이번 공격은 선하증권을 확인하라는 내용의 이메일로 유포되고 있으며, 이메일 제목에 '선하증권 확인'으로 시작하는 표현을 담고 있습니다. ※ 선하증권(bill of lading) 해상운송계약에 따른 운송화물의 수령 또는 선적을 인증하고, 그 물품의 인도청구권을 문서화한 증권 또한, 발신자 이메일 도메인으로 CHINA SEA GROUP을 사칭하였고, 실제 이 그룹의 상하이 지점 연락처를 도용하여 이메일 본문에 첨부하였습니다. 첨부파일의 타이틀 역시 "선하증권확인 SSHKH8110002.egg"으로 실제 해상운송..

악성코드 분석 리포트 2019. 3. 11. 17:18

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 금일(2019년 03월 11일) ESRC에서는 2019년 02월 20일 경부터 포착되기 시작한 새로운 갠드크랩 한국 유포조직이 기존의 랜섬웨어 공격의 진화된 형태로 악성코드를 유포하고 있다는 점을 포착하였습니다. 최근 이 갠드크랩 유포 조직은 '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등을 통해 랜섬웨어를 한국에 집중 유포하고 있습니다. 이들 조직은 기존 '[비너스락커] 랜섬웨어 유포 조직'과는 확연히 구분되고 있는 상태입니다. 이전 포스팅에서 해당 갠드크랩의 특징으로 어눌한 한국어 표현을 사용한다고 전해 드렸는데, 이번에 발견된 공격의 경우 이전 내용과 달리 한국어 표현이 많이 자연스러워 진 것을 확..

악성코드 분석 리포트 2019. 3. 11. 11:51

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 2019년 03월 06일, 대북관련 분야 등에서 활동하는 기업에 스피어 피싱(Spear Phishing) 공격이 수행된 것을 확인하였고, 특정 정부의 후원을 받는 해킹조직의 APT(지능형지속위협) 공격 일환으로 분석되었습니다. ■ MP3 음원 파일로 위장한 공격벡터 '오퍼레이션 블랙햇 보이스' 배경 최초 공격은 '검토 요청' 이라는 이메일 제목으로 수행됐으며, '회의 자료 Protected.zip' 파일이 첨부되어 있었습니다. 또한, 이메일 본문에는 '회의 자료 보내드리니 검토해주시기 바랍니다. 파일비번: china0305' 문구가 포함되어 있어서, 첨부된 압축파일에 비밀번호가 설정된 것을 알 ..

악성코드 분석 리포트 2019. 3. 7. 15:59

안녕하세요?이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 2019년 03월 07일 국내에 송장 혹은 인보이스를 위장한 새로운 악성 이메일이 다량 유포되고 있어 사용자들의 각별한 주의가 필요합니다. ESRC에서는 지난 02월 19일 이와 유사한 공격 사례를 공개해 드린 바 있는데, 이번 공격도 같은 위협의 연장선으로 보고 있습니다. 국내 기업, 기관을 대상으로 대량 유포중인 송장/인보이스 사칭 악성 이메일 주의! (2019.02.19) 실제 유포된 이메일을 살펴보면 아래와 같이 한글로된 발신자 명으로 되어 있으며, 법인 결산에 필요한 서류를 요청한다는 메일 내용이 작성되어 있습니다. [그림1] 악성 이메일 화면 하지만 발송된 메일의 도메인을 soal.com을 검색해 보면 해당 도메인의 홈페이지로 ..

악성코드 분석 리포트 2019. 3. 7. 14:08

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 기업 대상 윈도우 서버를 공격하는 클롭(CLOP) 랜섬웨어가 대량으로 유포 중에 있어 기업 사용자들의 각별한 주의가 필요합니다. 이 클롭(CLOP) 랜섬웨어는 개인이 아닌 기업들을 주요 공격 대상으로 하며, 이미 한국인터넷진흥원에서도 2월 22일 주의 공지를 게재한 적이 있습니다. 하지만 현재까지도 지속적으로 유포되고 있고 국내 기업들의 피해도 점차 확대되고 있는 만큼, 어제(4일) 한국인터넷진흥원은 또 한번 주의 공지를 발표하였습니다. 클롭(CLOP) 랜섬웨어는 기업에서 운용중인 AD 관리자 계정 정보를 탈취하는 방식을 통하여 기업 서버에 침투하며, 다른 랜섬웨어들과는 다르게 유효한 전자 서명을 포함하고 있어 백신 우회를 시도합니다. [그림1..

악성코드 분석 리포트 2019. 3. 5. 15:29

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 악성 매크로가 포함된 구매 영수증 관련 악성 메일이 국내에 유포되고 있어 주의를 당부드립니다. 이번에 발견된 악성 메일은 첨부파일로 doc, xls 같은 문서 파일이 추가 된 것이 아니라, 구매 송장 영수증을 다운로드 받도록 악성 링크 클릭을 유도하여 악성 매크로가 포함된 doc 파일을 다운받는 것으로 확인되었습니다. [그림 1] 수신된 메일 리스트 본문 내용에 영수증을 확인하기 위해 기재 된 URL을 클릭하면 HTTP 응답 헤더에 Content-Disposition 옵션에 attachment 속성을 이용하여 악성 매크로가 포함된 doc 파일을 자동 다운로드 시킵니다. [그림 2] 자동 다운로드 된 doc 문서 사용자가 다운로드 된 "20190..

악성코드 분석 리포트 2019. 2. 27. 15:09

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 베트남 하노이에서 2차 북미정상회담 일정이 진행되고 있는 가운데, ACE 압축포맷 취약점(CVE-2018-20250)을 활용한 APT 공격 의심정황이 포착되었습니다. ■ ACE 압축포맷 취약점(CVE-2018-20250) 배경 CVE-2018-20250 취약점은 ACE 압축해제 동적 라이브러리 'unacev2.dll' 파일에 존재하는 것으로, 해당 취약점을 악용하면 악성파일을 윈도우즈 운영체제 시작프로그램(Startup) 경로에 생성해 재부팅시 자동실행될 수 있도록 만들 수 있습니다. - C:\Users\[계정명]\AppData\Roaming\Microsoft\Windows\Start Menu\..

악성코드 분석 리포트 2019. 2. 27. 14:34