안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 악성 파일 아이콘이 “터키” 국기 모양을 하고있는 ‘법원 명령’ 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다. ※ 관련글보기 ▶ 또 다시 등장한 비너스락커 위협조직, 2018 연말정산 시즌 겨냥!▶ 독특한 스타일의 피싱 메일 주의!▶ 암호를 입력해야만 작동하는 악성 매크로 파일 주의!▶ 악성 매크로가 포함된 수수료 관련 악성 메일 주의! 이번에 발견된 악성 메일은 법원 명령에 관련된 내용으로 첨부 파일의 실행을 유도합니다. [그림 1] 수신된 메일 첨부 파일 ‘S12FG803.zip’ 에는 실행 파일인 ‘S12FG803.exe’ 파일이 담겨져 있습니다. [그림 2] 첨부된 ‘S12FG803.zip’ 파일 특이하게도 악성 파일의 ..

악성코드 분석 리포트 2018. 12. 18. 16:26

안녕하세요? 이스트시큐리티입니다. 기존 스미싱을 통해서 유포되던 악성 앱들이 진화하고 있습니다. 과거에는 주로 “모바일 청첩장”을 사칭했었지만 최근에는 “무료 모바일 동영상”을 사칭합니다. 또한 그 기능도 과거에는 단순한 정보 탈취였다면, 최근에는 원격 조종 및 추가 다운로드를 통해서 더욱더 복잡하고 다양한 악성행위를 합니다. 특히, 해당 앱은 분석 및 백신의 탐지를 어렵게 하기 위해서 악성 파일을 암호화하여 숨겼다가 복호화한 후 동적 로딩을 통해서 악성 행위를 합니다. 본 분석 보고서에서는 'Trojan.Android. Zitmo'를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 앱 특징백신의 탐지를 피하고 분석에 어려움을 주기 위해서 실제 악성 행위를 하는 “classes.dex”파일은 XOR 연..

악성코드 분석 리포트 2018. 12. 14. 08:30

안녕하세요? 이스트시큐리티입니다. 최근 Facebook 아이콘으로 위장한 랜섬웨어가 등장해 사용자의 각별한 주의가 필요합니다. Facebook 악성코드는 히든티어(Hidden Tear) 오픈소스를 기반으로 제작된 랜섬웨어로, 사용자의 중요 파일을 암호화 한 뒤 ‘.Facebook’ 확장자를 추가합니다. 공격자는 이를 복호화해주는 대가로 0.29 비트코인을 요구하며 금전적인 이득을 목적으로 하고 있습니다. 본 보고서에서는 Facebook으로 위장한 랜섬웨어 행위와 이를 예방하기 위한 방법을 알아보고자 합니다. 악성코드 상세 분석 이번에 발견된 Facebook 랜섬웨어는 다음과 같이 실제 Facebook 아이콘을 사용합니다. 또한 파일 속성에 Facebook Official이라는 설명을 사용하면서 정상 파일..

악성코드 분석 리포트 2018. 12. 13. 21:21

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. 작년 12월 카카오톡을 통한 피싱 공격이 이루어 지고 있다는 언론의 보도가 있었습니다. 해당 공격은 탈북자를 대상으로 앱을 직접 전달하거나 구글 플레이스토어의 설치 페이지를 알려 주어 앱을 설치하도록 유도하는 피싱 공격이었습니다. 이렇게 설치되는 앱은 피해자의 사생활 정보를 탈취하는 스파이앱으로 밝혀졌습니다. 발견된 스파이앱을 제작한 공격주체는 “금성121”이라는 단체로 추정되며 한국을 대상으로 지속적인 사이버공격을 하고 있는 단체입니다. 금성121의 공격 대상 장비는 서버나 PC였으나 이번 스파이앱의 발견으로 모바일 영역까지 확대한 것을 알 수 있습니다. 그리고 금성121의 공격 대상은 군이..

악성코드 분석 리포트 2018. 12. 13. 16:53

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. 저희는 대한민국을 주무대로 활동하는 사이버 위협그룹의 활동반경을 집중 모니터링하고 있으며, 최근 몇 개월사이 가장 활발한 움직임이 감지되고 있는 조직에 주목해 위협 인텔리전스 기반 대응을 강화하고 있습니다. 이들이 사용하고 있는 침해지표 IoC 들은 A.l(인공지능) 기반 악성코드 위협대응 솔루션 '쓰렛인사이드(Threat Inside)'를 통해 제공되고 있습니다. 대표적인 한국대상 위협 행위자(Threat Actor)들 가운데에서도 금전적인 수익을 비지니스 모델로 유지하고 있는 것은 단연 독보적으로 비너스락커(VenusLocker) 조직을 꼽을 수 있습니다. 2016년 비너스락커 조직의 태동..

악성코드 분석 리포트 2018. 12. 13. 09:05

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 영수증이나 배송관련 메일로 위장하여 유포되고 있는 피싱 메일들이 끊임없이 발견되고 있는 가운데, 최근 독특한 스타일의 피싱메일이 발견되었습니다. ※ 관련글 보기 ▶ 계정 보안으로 위장한 국내 포털 피싱 메일 주의!!▶ 임금체불 관련 출석요구서로 사칭한 갠드크랩 랜섬웨어 감염 주의▶ 해외 배송장으로 위장한 국내 포털 피싱 메일 주의!!▶ 매크로를 이용한 송장 관련 악성 메일 유포 주의▶ [업데이트][주의] 견적서를 위장한 악성메일 지속적으로 유포중! 사용자들의 주의 필요▶ 특정 기업의 프로젝트 파일처럼 위장한 악성 메일 유포 주의▶ 국내 실제 기업명을 사칭한 악성 메일 유포 주의 이번에 발견된 피싱 메일은 영수증 메일을 위장하고 있습니다. 해당 ..

악성코드 분석 리포트 2018. 12. 12. 14:26

암호를 입력해야만 작동하는 악성 매크로가 국내에 다수 유포되고 있어 사용자들의 주의가 필요합니다. 사용자가 악성 매크로가 포함된 DOC 파일을 클릭하면, 암호를 입력하라는 창이 뜹니다. [그림 1] 암호 입력 창 이스트시큐리티에서는 샘플만 수집하였기 때문에 아직 어떠한 형태로 유포되는지는 정확하게 확인되지 않았지만, 이메일을 통해 유포될 것으로 추정되며 암호는 이메일 내용에 포함되어 있을 것으로 추측됩니다. 해당 파일에 암호를 건 이유는 스팸 솔루션을 우회하려고 시도한 것이 아닌가 추측됩니다. 사용자가 암호를 입력하면 아래와 같이 워드파일의 본문 내용이 보여지며 매크로를 실행하라는 문구를 보여줍니다. [그림 2] 매크로 실행을 유도하는 DOC 파일 만약 사용자가 [콘텐츠 사용]을 클릭하면 워드 파일에 포..

악성코드 분석 리포트 2018. 12. 11. 11:26

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. 과거 비너스락커(VenusLocker) 랜섬웨어를 유포했던 위협조직이 최근 대규모로 악성 이메일을 국내에 유포하는 정황이 지속적으로 포착되고 있어 이용자 분들의 각별한 주의가 필요해 보입니다. 이들 조직은 한글로 '입사지원서', '이미지 무단사용 내용의 저작권법 안내' 등으로 이용자들을 현혹하고, 악성 매크로 코드가 포함된 DOC 워드파일을 첨부해 집중적으로 유포하고 있으며, 주로 갠드크랩(GandCrab) 랜섬웨어를 전파시키고 있습니다. 아울러 최근에는 '임금체불관련 출석요구서', '바로가기(LNK) 파일을 새로 제작', '입사지원서 사칭 유포' 한 내용들을 알약 공식 블로그를 통해 신속하게..

악성코드 분석 리포트 2018. 12. 10. 22:48