안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 2019년 03월 06일, 대북관련 분야 등에서 활동하는 기업에 스피어 피싱(Spear Phishing) 공격이 수행된 것을 확인하였고, 특정 정부의 후원을 받는 해킹조직의 APT(지능형지속위협) 공격 일환으로 분석되었습니다. ■ MP3 음원 파일로 위장한 공격벡터 '오퍼레이션 블랙햇 보이스' 배경 최초 공격은 '검토 요청' 이라는 이메일 제목으로 수행됐으며, '회의 자료 Protected.zip' 파일이 첨부되어 있었습니다. 또한, 이메일 본문에는 '회의 자료 보내드리니 검토해주시기 바랍니다. 파일비번: china0305' 문구가 포함되어 있어서, 첨부된 압축파일에 비밀번호가 설정된 것을 알 ..

악성코드 분석 리포트 2019. 3. 7. 15:59

안녕하세요?이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 2019년 03월 07일 국내에 송장 혹은 인보이스를 위장한 새로운 악성 이메일이 다량 유포되고 있어 사용자들의 각별한 주의가 필요합니다. ESRC에서는 지난 02월 19일 이와 유사한 공격 사례를 공개해 드린 바 있는데, 이번 공격도 같은 위협의 연장선으로 보고 있습니다. 국내 기업, 기관을 대상으로 대량 유포중인 송장/인보이스 사칭 악성 이메일 주의! (2019.02.19) 실제 유포된 이메일을 살펴보면 아래와 같이 한글로된 발신자 명으로 되어 있으며, 법인 결산에 필요한 서류를 요청한다는 메일 내용이 작성되어 있습니다. [그림1] 악성 이메일 화면 하지만 발송된 메일의 도메인을 soal.com을 검색해 보면 해당 도메인의 홈페이지로 ..

악성코드 분석 리포트 2019. 3. 7. 14:08

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 기업 대상 윈도우 서버를 공격하는 클롭(CLOP) 랜섬웨어가 대량으로 유포 중에 있어 기업 사용자들의 각별한 주의가 필요합니다. 이 클롭(CLOP) 랜섬웨어는 개인이 아닌 기업들을 주요 공격 대상으로 하며, 이미 한국인터넷진흥원에서도 2월 22일 주의 공지를 게재한 적이 있습니다. 하지만 현재까지도 지속적으로 유포되고 있고 국내 기업들의 피해도 점차 확대되고 있는 만큼, 어제(4일) 한국인터넷진흥원은 또 한번 주의 공지를 발표하였습니다. 클롭(CLOP) 랜섬웨어는 기업에서 운용중인 AD 관리자 계정 정보를 탈취하는 방식을 통하여 기업 서버에 침투하며, 다른 랜섬웨어들과는 다르게 유효한 전자 서명을 포함하고 있어 백신 우회를 시도합니다. [그림1..

악성코드 분석 리포트 2019. 3. 5. 15:29

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 악성 매크로가 포함된 구매 영수증 관련 악성 메일이 국내에 유포되고 있어 주의를 당부드립니다. 이번에 발견된 악성 메일은 첨부파일로 doc, xls 같은 문서 파일이 추가 된 것이 아니라, 구매 송장 영수증을 다운로드 받도록 악성 링크 클릭을 유도하여 악성 매크로가 포함된 doc 파일을 다운받는 것으로 확인되었습니다. [그림 1] 수신된 메일 리스트 본문 내용에 영수증을 확인하기 위해 기재 된 URL을 클릭하면 HTTP 응답 헤더에 Content-Disposition 옵션에 attachment 속성을 이용하여 악성 매크로가 포함된 doc 파일을 자동 다운로드 시킵니다. [그림 2] 자동 다운로드 된 doc 문서 사용자가 다운로드 된 "20190..

악성코드 분석 리포트 2019. 2. 27. 15:09

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 베트남 하노이에서 2차 북미정상회담 일정이 진행되고 있는 가운데, ACE 압축포맷 취약점(CVE-2018-20250)을 활용한 APT 공격 의심정황이 포착되었습니다. ■ ACE 압축포맷 취약점(CVE-2018-20250) 배경 CVE-2018-20250 취약점은 ACE 압축해제 동적 라이브러리 'unacev2.dll' 파일에 존재하는 것으로, 해당 취약점을 악용하면 악성파일을 윈도우즈 운영체제 시작프로그램(Startup) 경로에 생성해 재부팅시 자동실행될 수 있도록 만들 수 있습니다. - C:\Users\[계정명]\AppData\Roaming\Microsoft\Windows\Start Menu\..

악성코드 분석 리포트 2019. 2. 27. 14:34

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 2019년 02월 20일 경부터 포착되기 시작한 새로운 갠드크랩 한국 유포조직(특징:어눌한 한국어 표현 사용)이 국내 사용자들을 대상으로 지속적인 랜섬웨어 공격을 진행하고 있습니다. 최근 '경찰청 소환장', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등을 통해 랜섬웨어를 한국에 집중 유포하고 있습니다. 이들 조직은 기존 '[비너스락커] 랜섬웨어 유포 조직'과는 확연히 구분되고 있는 상태입니다. ※ 관련글 보기 ▶ [주의] 헌법 재판소 소환장으로 유포중인 갠드크랩 v5.2 주의! (2019. 02. 25)▶ 지마켓 할인 쿠폰을 위장하여 유포되고 있는 갠드크랩 랜섬웨어 주의! (2019. 02. 22)▶ 경찰청 소환장으로 유포중인 갠드크랩 랜섬웨..

악성코드 분석 리포트 2019. 2. 27. 10:53

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2/26) 갠드크랩(GandCrab) 랜섬웨어를 유포하던 비너스락커 조직이 기존과 유사한 방식으로 구직시즌에 맞춰 입사지원서를 위장하여 갠드크랩(GandCrab) 랜섬웨어 v5.2을 새롭게 유포하는 정황이 포착되어 사용자들의 주의가 필요합니다. [그림 1] 메일 이미지 해당 메일의 특징은 이메일 제목이 없고 메일의 본문에는 "백만불짜리 열정을 보여드리겠습니다." "성실하고 꼼꼼한 지원자 입니다." 등과 같은 간단한 내용이 작성되어 있습니다. 해당 이력서에 첨부된 압축파일을 풀어보면, 압축파일 내에는 다음과 같은 파일들이 포함되어 있습니다. (메일 첨부파일마다 조금씩 상이할 수 있습니다.) [그림 2] 압축 파일 이미지 첨부파일에는 (파일명..

악성코드 분석 리포트 2019. 2. 26. 14:53

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 헌법 재판소 소환장으로 위장하여 갠드크랩(GandCrab) 랜섬웨어 v5.2가 대량 유포되고 있어 사용자들의 각별한 주의가 필요합니다. [그림 1] 깨진 파일이 첨부된 헌법 재판소 사칭 이메일 해당 메일은 25일 오전부터 대량으로 유포되기 시작하였으며 ‘당신은 의제에 법정에 표시해야’라는 어색한 한글로 작성되어 있습니다. 수신자에는 국내 대기업, 기관, 연구소, 금융, 대학 등이 대거 포함되어 있어 주의가 필요합니다. 이 이메일의 내용은 다음과 같이 어색한 한글로 작성되어 있습니다. 최고 헌법 재판소에 의해 환영 받는다! 12:00 년 2 월 25 일에 헌법 재판소에 도착 해야 합니다. 신원 증명을 위한 여권 또는 기타 서류를 소지 해야 합니다..

악성코드 분석 리포트 2019. 2. 25. 16:41