안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 작년 08월 22일 ESRC에서는 '작전명 로켓 맨(Operation Rocket Man)' 공격 분석을 상세하게 공개한 바 있습니다. 이 공격은 당시 한국에 거주하는 일부 탈북민과 대북단체(장) 등이 위협 대상에 포함됐던 것으로 추정됩니다. [그림 1] 2018년 08월 유포된 악성 문서 파일 2018년 당시 '로켓맨' APT(지능형지속위협) 공격은 HWP 문서파일의 취약점을 이용해 진행이 되었습니다. 당시, 한국의 특정 웹 사이트를 해킹해 악성 HWP 문서를 등록해 두었고, 실제 이메일에는 URL 링크 방식의 공격 벡터를 활용했습니다. APT 공격에 사용된 '통지.HWP' 취약점 파일에는 제..

악성코드 분석 리포트 2019. 1. 23. 09:11

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 갠드크랩(GandCrab) 랜섬웨어를 유포하던 조직이 기존과 유사한 방식으로 구직시즌에 맞춰 입사지원서 등을 위장하여 갠드크랩(GandCrab) 랜섬웨어 v5.1을 새롭게 유포하는 정황이 포착되어 사용자들의 주의가 필요합니다. 해당 이력서에 첨부된 압축파일을 풀어보면, 압축파일 내에는 다음과 같은 파일들이 포함되어 있습니다. (메일 첨부파일마다 조금씩 상이할 수 있습니다.) 첨부파일을 열어본 사용자가 지원서.doc.lnk파일을 클릭하는 경우 jpeg로 위장한 악성코드(.exe)가 실행되면서 갠드크랩(GandCrab) 랜섬웨어가 동작하게 되며 사용자를 속이기 위해 함께 첨부된 정상 doc파일을 실행해서 화면에 보여주게 됩니다. 정상 doc파일이 ..

악성코드 분석 리포트 2019. 1. 21. 14:35

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 2019년 01월 07일 월요일 새벽 1시 경 통일부 등을 출입하는 언론사 기자(단)들의 이메일 대상으로 대규모 스피어 피싱(Spear Phishing) 공격이 수행된 바 있고, ESRC에서는 '작전명 코브라 베놈(Operation Cobra Venom)'으로 위협정보를 공개한 바 있습니다. 이런 가운데 2019년 01월 20일 일요일에 새로운 변종이 발견되었습니다. 해당 변종은 한국시간(KST)으로 01월 21일 새벽 6시 경에 코드가 제작된 것으로 설정되어 있었습니다. 또한, 마치 이스트시큐리티의 알약(ALYac) 보안 모듈처럼 위장하는 공격벡터를 도입했습니다. 이에 ESRC는 가짜로 조작된..

악성코드 분석 리포트 2019. 1. 20. 15:50

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 갠드크랩 랜섬웨어가 또 다시 유포되고 있어 사용자들의 각별한 주의가 필요합니다. ※ 관련글보기 ▶ 2018 연말정산 시즌 비너스락커 유포 조직 활동중!▶ 또 다시 등장한 비너스락커 위협조직, 2018 연말정산 시즌 겨냥!▶ 비너스락커 조직 ‘바로가기’ 파일(LNK) 변경하여 유포 중인 갠드크랩 랜섬웨어 주의▶ 이미지를 드롭하는 갠드크랩(GandCrab) 5.0.4 발견! 이번 악성메일은 명함제작 이메일을 위장하고 있습니다. [그림 1] 수신된 메일 첨부 파일 ‘문의사항.alz’ 에는 아래와 같이 3개의 파일이 있습니다. [그림 2] 첨부파일 '문의사항.alz' 압축파일에 첨부되어 있는 doc 파일은 정상 파일이며, jpg 파일은 이미지 파일을 ..

악성코드 분석 리포트 2019. 1. 17. 08:32

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 1월 15일부터 시작하는 연말정산 간소화 서비스 기간과 발맞춰, 연말정산 내용의 악성 메일이 또다시 유포되고 있어 사용자들의 각별한 주의가 필요합니다. ※ 관련 글 보기▶ 2018 연말정산 시즌 비너스락커 유포 조직 활동중!▶ 또 다시 등장한 비너스락커 위협조직, 2018 연말정산 시즌 겨냥! 금일 수집 된 악성 이메일은 12월 중순에 발견되었던 악성 메일과 동일한 내용으로 유포되고 있습니다. 다만 기존과 다른 점은, 기존에는 이메일에 워드파일 형식으로 악성 파일이 첨부되어 있었지만 이번에는 링크 형태로 유포되고 있습니다. [그림1] 연말정산 사칭 악성 메일 이메일 본문에는 링크가 포함되어 있어 사용자의 클릭을 유도하며, 만약 사용자가 링크를 ..

악성코드 분석 리포트 2019. 1. 10. 16:39

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 ‘자문용 질문 190108.hwp’ 이름의 악성 한글 파일이 발견되었습니다. 현재까지도 꾸준한 공격 활동을 유지하고 있는 것으로 확인되어 있어, 이용자들의 주의를 당부드립니다. ※ 관련글 보기 ▶ 오퍼레이션 김수키(Kimsuky)의 은밀한 활동, 한국 맞춤형 APT 공격은 현재 진행형 ‘자문용 질문 190108.hwp’ 문서 내용은 아래와 같이 ‘서면 자문용 질문’ 제목을 하고 있고, 남북한 상황에 대한 질문 내용이 담겨져 있습니다. [그림 1] ‘자문용 질문 190108.hwp’ 문서 화면 2018년 01월 30일 발견된 ‘남북 사회문화협력의 비전과 과제.hwp’ 와 마찬가지로 문서 지은이 계정은 대한민국의 행정기관인 외교부를 mofa(..

악성코드 분석 리포트 2019. 1. 10. 12:54

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 2019년 01월 07일 새벽 1시 경 통일부 등을 출입하는 언론사 기자들의 이메일 대상으로 대규모 스피어 피싱(Spear Phishing) 공격이 수행됐습니다. 특히, 'Windows 스크립트 파일(.wsf)'을 이용한 공격이 주목되며, 위협그룹은 자신들의 공격 흔적을 남기지 않기 위해 나름대로 신경을 쓴 것으로 추정됩니다. 더불어 공격조직의 과거 유사한 위협사례를 비교해 본 결과, 특정 정부가 지원하는 해킹조직으로 분류된 상태입니다. ▶ 오퍼레이션 코브라 베놈 등장 배경 ESRC에서는 이번 공격이 2018년 11월 '작전명 블랙 리무진'과 2018년 05월 '작전명 원제로'와 이어진다는 것을..

악성코드 분석 리포트 2019. 1. 7. 10:56

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 2019년 01월 03일 '190101-신년사_평가.hwp' 문서내용을 보여주는 APT 공격이 발견되었습니다. 이 공격조직이 사용한 기법을 분석할 결과 2014년 한수원 공격에 사용된 코드와 유사한 것으로 확인되었습니다. 해당 위협조직은 얼마전 "작전명 블랙 리무진(Operation Black Limousine)"으로 대남 사이버공격을 수행한 바 있으며, 2018년 12월 말에는 탈북민 관련 사항으로 문서파일 취약점 기반 공격을 수행하기도 했습니다. 이번 악성코드가 사용한 문서의 타이틀에는 '2019년 북한 신년사 평가' 문구를 가지고 있으며, 마치 정부기관 문건처럼 보이는 내용도 존재합니다. ..

악성코드 분석 리포트 2019. 1. 3. 17:51