안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 악성 매크로가 포함된 구매 영수증 관련 악성 메일이 국내에 유포되고 있어 주의를 당부드립니다. 이번에 발견된 악성 메일은 첨부파일로 doc, xls 같은 문서 파일이 추가 된 것이 아니라, 구매 송장 영수증을 다운로드 받도록 악성 링크 클릭을 유도하여 악성 매크로가 포함된 doc 파일을 다운받는 것으로 확인되었습니다. [그림 1] 수신된 메일 리스트 본문 내용에 영수증을 확인하기 위해 기재 된 URL을 클릭하면 HTTP 응답 헤더에 Content-Disposition 옵션에 attachment 속성을 이용하여 악성 매크로가 포함된 doc 파일을 자동 다운로드 시킵니다. [그림 2] 자동 다운로드 된 doc 문서 사용자가 다운로드 된 "20190..

악성코드 분석 리포트 2019. 2. 27. 15:09

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 베트남 하노이에서 2차 북미정상회담 일정이 진행되고 있는 가운데, ACE 압축포맷 취약점(CVE-2018-20250)을 활용한 APT 공격 의심정황이 포착되었습니다. ■ ACE 압축포맷 취약점(CVE-2018-20250) 배경 CVE-2018-20250 취약점은 ACE 압축해제 동적 라이브러리 'unacev2.dll' 파일에 존재하는 것으로, 해당 취약점을 악용하면 악성파일을 윈도우즈 운영체제 시작프로그램(Startup) 경로에 생성해 재부팅시 자동실행될 수 있도록 만들 수 있습니다. - C:\Users\[계정명]\AppData\Roaming\Microsoft\Windows\Start Menu\..

악성코드 분석 리포트 2019. 2. 27. 14:34

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 2019년 02월 20일 경부터 포착되기 시작한 새로운 갠드크랩 한국 유포조직(특징:어눌한 한국어 표현 사용)이 국내 사용자들을 대상으로 지속적인 랜섬웨어 공격을 진행하고 있습니다. 최근 '경찰청 소환장', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등을 통해 랜섬웨어를 한국에 집중 유포하고 있습니다. 이들 조직은 기존 '[비너스락커] 랜섬웨어 유포 조직'과는 확연히 구분되고 있는 상태입니다. ※ 관련글 보기 ▶ [주의] 헌법 재판소 소환장으로 유포중인 갠드크랩 v5.2 주의! (2019. 02. 25)▶ 지마켓 할인 쿠폰을 위장하여 유포되고 있는 갠드크랩 랜섬웨어 주의! (2019. 02. 22)▶ 경찰청 소환장으로 유포중인 갠드크랩 랜섬웨..

악성코드 분석 리포트 2019. 2. 27. 10:53

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2/26) 갠드크랩(GandCrab) 랜섬웨어를 유포하던 비너스락커 조직이 기존과 유사한 방식으로 구직시즌에 맞춰 입사지원서를 위장하여 갠드크랩(GandCrab) 랜섬웨어 v5.2을 새롭게 유포하는 정황이 포착되어 사용자들의 주의가 필요합니다. [그림 1] 메일 이미지 해당 메일의 특징은 이메일 제목이 없고 메일의 본문에는 "백만불짜리 열정을 보여드리겠습니다." "성실하고 꼼꼼한 지원자 입니다." 등과 같은 간단한 내용이 작성되어 있습니다. 해당 이력서에 첨부된 압축파일을 풀어보면, 압축파일 내에는 다음과 같은 파일들이 포함되어 있습니다. (메일 첨부파일마다 조금씩 상이할 수 있습니다.) [그림 2] 압축 파일 이미지 첨부파일에는 (파일명..

악성코드 분석 리포트 2019. 2. 26. 14:53

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 헌법 재판소 소환장으로 위장하여 갠드크랩(GandCrab) 랜섬웨어 v5.2가 대량 유포되고 있어 사용자들의 각별한 주의가 필요합니다. [그림 1] 깨진 파일이 첨부된 헌법 재판소 사칭 이메일 해당 메일은 25일 오전부터 대량으로 유포되기 시작하였으며 ‘당신은 의제에 법정에 표시해야’라는 어색한 한글로 작성되어 있습니다. 수신자에는 국내 대기업, 기관, 연구소, 금융, 대학 등이 대거 포함되어 있어 주의가 필요합니다. 이 이메일의 내용은 다음과 같이 어색한 한글로 작성되어 있습니다. 최고 헌법 재판소에 의해 환영 받는다! 12:00 년 2 월 25 일에 헌법 재판소에 도착 해야 합니다. 신원 증명을 위한 여권 또는 기타 서류를 소지 해야 합니다..

악성코드 분석 리포트 2019. 2. 25. 16:41

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 갠드크랩(GandCrab) 랜섬웨어가 포함된 지마켓 할인쿠폰을 위장한 악성 메일이 유포되고 있어 사용자들의 주의가 필요합니다. [그림1 지마켓 할인쿠폰 메일을 위장한 악성메일] 이번에 발견된 악성 메일은 [Gmarket] 축하해! 당신을 위한 쿠폰! 이라는 제목으로 유포되고 있습니다. 해당 메일을 클릭하면, 지마켓(Gmarket)에서 보내온 것처럼 정교하게 위장된 이메일 내용과 함께 쿠폰을 위장한 압축 파일이 포함되어 있습니다. [그림2] 할인쿠폰을 위장하고 있는 갠드크랩 해당 압축파일 안에는 pdf 형식의 지마켓 할인쿠폰을 위장한 exe 파일이 포함되어 있습니다. 사용자가 해당 파일을 PDF 파일로 착각하여 실행할 경우, 할인쿠폰을 위장하고 ..

악성코드 분석 리포트 2019. 2. 22. 14:14

안녕하세요? 이스트시큐리티입니다. 지난해 8월 가짜 성인 앱으로 위장해 사용자 다운로드를 유도했던 안드로이드 스파이웨어 Triout이 이번에는 정상 앱에 숨어들었습니다. 1천만 건 이상 다운로드 된 프라이버시툴 “PsiPhon”에 악성 코드가 추가되었습니다. 서비스와 리시버 형태로 사용자 몰래 기기 정보는 물론 문자 탈취, 녹음 등 사생활을 완전히 감시하고 그 정보를 해커의 서버로 전송합니다. 본 분석 보고서에서는 'Spyware.Android.FakeApp'를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 악성코드 추가 원본 앱의 구조와 비교해 보면 마지막에 “psp” 클래스가 추가되었습니다. 특히, 매니페스트를 보면 리시버와 서비스들이 다수 추가된 것을 알 수 있고, 관련 권한과 인텐트들은 민감한..

악성코드 분석 리포트 2019. 2. 21. 17:49

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 2019년 02월 21일 오전 제작된 새로운 지능형지속위협(APT) 공격이 발견되었습니다. 이 공격은 특정 정부가 지원하는 해킹조직으로 분류되어 있고, 2014년 한국수력원자력(한수원) 공격에 직접적으로 연결되어 있는 조직이며, 지난 2018년 11월 27일 공개했던 '작전명 블랙 리무진(Operation Black Limousine)'의 후속 캠페인으로 확인이 되었습니다. 관련 내용은 추후 '쓰렛인사이드(Threat Inside)' 서비스를 통해 보다 상세한 위협 인텔리전스 보고서와 IoC 등의 자료를 제공할 예정입니다. 위협조직이 사용한 공격벡터는 이메일에 악성 HWP 문서파일을 첨부해 공격..

악성코드 분석 리포트 2019. 2. 21. 13:19