안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 2019년 01월 03일 '190101-신년사_평가.hwp' 문서내용을 보여주는 APT 공격이 발견되었습니다. 이 공격조직이 사용한 기법을 분석할 결과 2014년 한수원 공격에 사용된 코드와 유사한 것으로 확인되었습니다. 해당 위협조직은 얼마전 "작전명 블랙 리무진(Operation Black Limousine)"으로 대남 사이버공격을 수행한 바 있으며, 2018년 12월 말에는 탈북민 관련 사항으로 문서파일 취약점 기반 공격을 수행하기도 했습니다. 이번 악성코드가 사용한 문서의 타이틀에는 '2019년 북한 신년사 평가' 문구를 가지고 있으며, 마치 정부기관 문건처럼 보이는 내용도 존재합니다. ..

악성코드 분석 리포트 2019. 1. 3. 17:51

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 일명 캠페인 Konni 이름으로 널리 알려져 있는 위협 벡터는 지난 2014년도부터 주로 북한관련 내용을 담은 루어(Lure) 데이터를 활용해 사이버 공격에 활용되고 있습니다. ESRC에서는 지난 10월 '작전명 해피 바이러스(Operation Happy Virus)'를 공개한 바 있고, '작전명 디코이 플레인(Decoy Plane)' 위협 인텔리전스 리포트가 2018년 12월에 쓰렛인사이드(Threat Inside)에 등록되었습니다. 공격자들은 지난 2018년 말, 정책 자료 또는 특정 암호화폐 지갑 관련 자료로 위장해 유포된 사례가 발견되었습니다. ESRC에서는 이번 공격의 연장선을 '작전명..

악성코드 분석 리포트 2019. 1. 2. 16:53

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 새해가 밝았지만 공격자들의 공격 시도는 끊임없이 발생되고 있습니다. ※ 관련글 보기 ▶ 법원 명령으로 위장한 악성 메일 유포 주의▶ 또 다시 등장한 비너스락커 위협조직, 2018 연말정산 시즌 겨냥!▶ 독특한 스타일의 피싱 메일 주의!▶ 암호를 입력해야만 작동하는 악성 매크로 파일 주의!▶ 악성 매크로가 포함된 수수료 관련 악성 메일 주의! 연말연시를 맞아 수입 통관과 관련된 내용으로 위장한 피싱 메일이 유포되었으며, 이미 국내에서 피해가 발생하여 사용자들의 각별한 주의가 필요합니다. [그림 1] 수신된 메일 이번 피싱 메일은 악성 .ace 파일과 함께 .xls 파일을 첨부하여 사용자들을 현혹하고 있습니다. .xls 파일은 아무 역할을 하지 않..

악성코드 분석 리포트 2019. 1. 2. 10:44

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 연말정산 시즌을 겨냥한 홈택스 사칭 악성 메일을 통해 국내에 GandCrab랜섬웨어가 유포되고 있어 사용자 주의를 당부 드립니다. ※ 관련글 보기 ▶ 또 다시 등장한 비너스락커 위협조직, 2018 연말정산 시즌 겨냥!▶ 비너스락커 조직 ‘바로가기’ 파일(LNK) 변경하여 유포 중인 갠드크랩 랜섬웨어 주의▶ 이미지를 드롭하는 갠드크랩(GandCrab) 5.0.4 발견! 이번에 발견된 연말정산 사칭 악성 메일은 기존에 발견된 ‘연말 정산’ 사칭 악성 메일과 동일한 내용을 가지고 있으며, 첨부 파일의 실행을 유도합니다. 특징적으로 이전에 유포된 ‘연말정산’ 사칭 악성 메일과 비교했을 때, ‘벌써 2018년도의 한해를 마무리하는 12월도 절반을 ..

악성코드 분석 리포트 2018. 12. 27. 17:04

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 악성 파일 아이콘이 “터키” 국기 모양을 하고있는 ‘법원 명령’ 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다. ※ 관련글보기 ▶ 또 다시 등장한 비너스락커 위협조직, 2018 연말정산 시즌 겨냥!▶ 독특한 스타일의 피싱 메일 주의!▶ 암호를 입력해야만 작동하는 악성 매크로 파일 주의!▶ 악성 매크로가 포함된 수수료 관련 악성 메일 주의! 이번에 발견된 악성 메일은 법원 명령에 관련된 내용으로 첨부 파일의 실행을 유도합니다. [그림 1] 수신된 메일 첨부 파일 ‘S12FG803.zip’ 에는 실행 파일인 ‘S12FG803.exe’ 파일이 담겨져 있습니다. [그림 2] 첨부된 ‘S12FG803.zip’ 파일 특이하게도 악성 파일의 ..

악성코드 분석 리포트 2018. 12. 18. 16:26

안녕하세요? 이스트시큐리티입니다. 기존 스미싱을 통해서 유포되던 악성 앱들이 진화하고 있습니다. 과거에는 주로 “모바일 청첩장”을 사칭했었지만 최근에는 “무료 모바일 동영상”을 사칭합니다. 또한 그 기능도 과거에는 단순한 정보 탈취였다면, 최근에는 원격 조종 및 추가 다운로드를 통해서 더욱더 복잡하고 다양한 악성행위를 합니다. 특히, 해당 앱은 분석 및 백신의 탐지를 어렵게 하기 위해서 악성 파일을 암호화하여 숨겼다가 복호화한 후 동적 로딩을 통해서 악성 행위를 합니다. 본 분석 보고서에서는 'Trojan.Android. Zitmo'를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 앱 특징백신의 탐지를 피하고 분석에 어려움을 주기 위해서 실제 악성 행위를 하는 “classes.dex”파일은 XOR 연..

악성코드 분석 리포트 2018. 12. 14. 08:30

안녕하세요? 이스트시큐리티입니다. 최근 Facebook 아이콘으로 위장한 랜섬웨어가 등장해 사용자의 각별한 주의가 필요합니다. Facebook 악성코드는 히든티어(Hidden Tear) 오픈소스를 기반으로 제작된 랜섬웨어로, 사용자의 중요 파일을 암호화 한 뒤 ‘.Facebook’ 확장자를 추가합니다. 공격자는 이를 복호화해주는 대가로 0.29 비트코인을 요구하며 금전적인 이득을 목적으로 하고 있습니다. 본 보고서에서는 Facebook으로 위장한 랜섬웨어 행위와 이를 예방하기 위한 방법을 알아보고자 합니다. 악성코드 상세 분석 이번에 발견된 Facebook 랜섬웨어는 다음과 같이 실제 Facebook 아이콘을 사용합니다. 또한 파일 속성에 Facebook Official이라는 설명을 사용하면서 정상 파일..

악성코드 분석 리포트 2018. 12. 13. 21:21

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. 작년 12월 카카오톡을 통한 피싱 공격이 이루어 지고 있다는 언론의 보도가 있었습니다. 해당 공격은 탈북자를 대상으로 앱을 직접 전달하거나 구글 플레이스토어의 설치 페이지를 알려 주어 앱을 설치하도록 유도하는 피싱 공격이었습니다. 이렇게 설치되는 앱은 피해자의 사생활 정보를 탈취하는 스파이앱으로 밝혀졌습니다. 발견된 스파이앱을 제작한 공격주체는 “금성121”이라는 단체로 추정되며 한국을 대상으로 지속적인 사이버공격을 하고 있는 단체입니다. 금성121의 공격 대상 장비는 서버나 PC였으나 이번 스파이앱의 발견으로 모바일 영역까지 확대한 것을 알 수 있습니다. 그리고 금성121의 공격 대상은 군이..

악성코드 분석 리포트 2018. 12. 13. 16:53