라자루스(Lazarus)그룹 '익스트림 잡(Operation Extreme Job)' APT 공격 안녕하세요? 이스트시큐리티 CTI 조직인 시큐리티대응센터(이하 ESRC)는 정부후원을 받는 공격자(State-sponsored Actor)가 수행한 최신 지능형지속위협(APT) 캠페인을 확인했습니다. 이 그룹은 이른바 라자루스(Lazarus) 이름으로 널리 알려져 있고, 2018년 09월 06일 미 법무부에서 미국 소니픽쳐스 영화사 해킹, 방글라데시 은행 해킹, 워너크라이 랜섬웨어 유포 등의 혐의로 LA 연방법원에 기소고발을 하였고, 미연방수사국(FBI)에서는 지명수배를 내린 상태입니다. https://www.fbi.gov/wanted/cyber/park-jin-hyok/@@download.pdf https..

악성코드 분석 리포트 2019. 1. 31. 08:15

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC)입니다. PDF 파일을 기반으로 하는 애플 피싱메일이 유포되고 있어 주의가 필요합니다. 이번에 발견된 피싱 메일은 사용자의 애플 계정이 잠겼다는 내용과 함께 PDF 파일이 첨부되어 있습니다. [그림1] 애플 서비스로 위장한 피싱메일 사용자가 첨부되어 있는 PDF 를 클릭하면, 비합법적인 로그인으로 인하여 계정 사용이 중지되었다는 내용과 함께 계정확인 링크가 포함되어 있어 사용자들의 클릭을 유도합니다. [그림2] 계정 사용 중지 안내와 계정확인 링크 해당 PDF 파일 자체는 어떠한 악성기능도 포함하고 있지 않으며, 악성 페이지로 사용자를 이동시키는 매개체 역할을 합니다. 사용자가 계정확인 버튼을 클릭하면, 공격자가 제작해놓은 그럴듯한 애플 페이지가 뜨며, ..

악성코드 분석 리포트 2019. 1. 30. 16:00

안녕하세요? 이스트시큐리티입니다. 구글 플레이스토어에서 정상 앱을 가장한 악성 앱이 지속적으로 발견되고 있습니다. 관련 앱들은 게임, 티비, 리모컨 등의 앱으로 위장하여 사용자를 속입니다. 해당 앱 중에는 다운로드 건수가 500만 건이 넘는 앱도 있었습니다. 특히, 다양한 가상환경 탐지 기법을 적용하여 앱 분석을 방해하며 광고 팝업뿐만 아니라 기기 및 개인 정보를 탈취합니다. 본 분석 보고서에서는 'Trojan.Android.FakeApp'를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 광고를 위한 앱 설정광고를 하기 위해서 자체 설정을 하는데, 해당 설정과 관련된 정보는 인터넷을 통해서 읽어오고, shared_prefs에 값을 저장합니다. 또한, 인터넷이 안될 경우를 대비하여 앱 자체에도 하드 코..

악성코드 분석 리포트 2019. 1. 28. 15:19

안녕하세요. 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 2018년 한해 동안 스미싱을 통한 악성앱들이 꾸준이 유포되었습니다. 이에 이스트시큐리티에서는 한 해 동안 수집한 스미싱들의 수집 통계를 내보았습니다. 다음 차트는 2018년 한해 동안 ESRC에서 수집한 스미싱 통계로, 차트를 보시면 월별로 증감이 있지만 꾸준하게 증가 추세를 그리며 유포되고 있다는 것을 알 수 있습니다. 그림 1. 2018년 스미싱 월별 통계 특이한 부분은 여름휴가가 집중되는 달에 최고조를 이루고 있다는 점입니다. 즉, 공격자들이 피해자들의 생활패턴이나 이벤트에 맞추어 공격을 진행하고 있다는 것을 유추 할 수 있습니다. 그리고 다음 차트는 수집된 스미싱 악성앱들을 탐지명 별로..

악성코드 분석 리포트 2019. 1. 28. 13:42

안녕하세요? 이스트시큐리티입니다. 최근 Outsider로 명명된 랜섬웨어가 새롭게 등장해 사용자의 각별한 주의가 필요합니다. Outsider 랜섬웨어는 확장자에 관계없이 모든 파일을 암호화하고 특정 확장자에 따라 암호화 방식을 달리합니다. 또한, 사용자 시스템뿐만 아니라 사용자시스템과 연결된 네트워크 드라이브까지 검사해 감염시키는 것이 특징입니다. 공격자는 파일 복호화 대가로 $900의 비트코인을 요구하며 금전적인 이득을 노립니다. 따라서, 본 보고서에서는 Outsider 랜섬웨어의 행위와 특징에 대해서 알아보고자 합니다. 악성코드 상세 분석 Outsider랜섬웨어는 사용자의 시스템 언어를 확인하여 암호화 여부를 결정합니다. 다음과 같은 언어를 사용 중일 경우에는 암호화를 진행하지 않으며, 이 외의 언어..

악성코드 분석 리포트 2019. 1. 24. 15:44

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 유명 소셜커머스의 입사지원을 위장하여 악성코드가 유포되어 사용자들의 주의가 필요합니다. [그림 1] 입사지원서를 위장한 악성메일 공격자는 해당 소셜커머스 회사 특정 직군에 지원하는 것처럼 이력서를 위장하여 악성코드를 전달하였습니다. 확인 결과, 해당 기업은 실제로 현재 해당 직군의 인재를 채용 중인 것으로 확인되었습니다. [그림 2] 실제로 진행중인 채용공고 공격자가 보낸 이메일의 첨부 파일에는 악성 매크로가 포함된 doc 파일이 첨부되어 있습니다. [그림 3] 악성메일에 첨부되어 있는 압축파일 사용자가 압축 해제 후 악성매크로가 포함된 doc 파일을 실행하면, 보안 경고창이 뜹니다. [그림 4] 악성 매크로가 포함된 파일 실행 시 뜨는 보..

악성코드 분석 리포트 2019. 1. 24. 14:31

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 작년 08월 22일 ESRC에서는 '작전명 로켓 맨(Operation Rocket Man)' 공격 분석을 상세하게 공개한 바 있습니다. 이 공격은 당시 한국에 거주하는 일부 탈북민과 대북단체(장) 등이 위협 대상에 포함됐던 것으로 추정됩니다. [그림 1] 2018년 08월 유포된 악성 문서 파일 2018년 당시 '로켓맨' APT(지능형지속위협) 공격은 HWP 문서파일의 취약점을 이용해 진행이 되었습니다. 당시, 한국의 특정 웹 사이트를 해킹해 악성 HWP 문서를 등록해 두었고, 실제 이메일에는 URL 링크 방식의 공격 벡터를 활용했습니다. APT 공격에 사용된 '통지.HWP' 취약점 파일에는 제..

악성코드 분석 리포트 2019. 1. 23. 09:11

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 갠드크랩(GandCrab) 랜섬웨어를 유포하던 조직이 기존과 유사한 방식으로 구직시즌에 맞춰 입사지원서 등을 위장하여 갠드크랩(GandCrab) 랜섬웨어 v5.1을 새롭게 유포하는 정황이 포착되어 사용자들의 주의가 필요합니다. 해당 이력서에 첨부된 압축파일을 풀어보면, 압축파일 내에는 다음과 같은 파일들이 포함되어 있습니다. (메일 첨부파일마다 조금씩 상이할 수 있습니다.) 첨부파일을 열어본 사용자가 지원서.doc.lnk파일을 클릭하는 경우 jpeg로 위장한 악성코드(.exe)가 실행되면서 갠드크랩(GandCrab) 랜섬웨어가 동작하게 되며 사용자를 속이기 위해 함께 첨부된 정상 doc파일을 실행해서 화면에 보여주게 됩니다. 정상 doc파일이 ..

악성코드 분석 리포트 2019. 1. 21. 14:35