안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 견적서 관련 내용의 악성 메일이 또 다시 발견되었습니다. 이번에 발견된 악성 메일들은 다양한 형태로 작성되어 유포되었으나, 내용은 모두 견적서 메일로 위장하고 있습니다. [그림 1] 다양한 형태의 견적서 악성메일 첨부되어 있는 zip 혹은 ace 파일에는 악성 exe 파일들이 포함되어 있으며, 일부의 경우 doc 파일들도 포함되어 있습니다. [그림 2] 악성메일에 포함된 첨부파일 악성 메일들의 내용이나 첨부 파일들의 형태는 각기 달랐지만, 실제 분석해본 결과 C&C 정보와 드롭되는 파일 이름만 다른 동일한 코드임이 확인되었습니다. 사용자가 자세한 정보를 열람하기 위해 악성 파일들을 실행할 경우, %TEMP% 경로에 특정 이름의 폴더를 생성하고,..

악성코드 분석 리포트 2018. 10. 30. 14:47

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 백신업체인 비트디펜더가 갠드크랩 복호화툴을 공개한 가운데, 최근 갠드크랩의 최신 변종인 갠드크랩 5.0.5가 발견되어 사용자들의 주의가 필요합니다. ※ 관련글 보기 ▶ 갠드크랩(GandCrab) 랜섬웨어의 무료 복호화 툴 공개 돼▶ 이미지를 드롭하는 갠드크랩(GandCrab) 5.0.4 발견!▶ 멀버타이징 기법으로 유포 중인 갠드크랩(GandCrab) v5.0.3 주의!!▶ 비너스락커 조직이 유포중인 갠드크랩(GandCrab) v5.0.3 주의!▶ 갠드크랩(GandCrab) 랜섬웨어 5.0.1, 5.0.2 변종 지속적으로 유포 중! 이번에 발견된 갠드크랩 5.0.5버전은 이전에 발견되었던 갠드크랩들과 동일한 특징을 갖고 있습니다. 파일들을 암호화..

악성코드 분석 리포트 2018. 10. 29. 19:00

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 악성코드 감염 내용으로 사용자를 협박하여 비트코인을 요구하는 혹스(Hoax)메일이 유포되고 있어 사용자들의 주의가 필요합니다. ※ 관련글보기▶ 불특정 다수에게 유포되고 있는 혹스(Hoax) 메일 주의!▶ 계속 진화중인 혹스(Hoax) 메일의 변종들▶ 국내 유포중인 혹스(Hoax) 메일, 일본에서도 유포중! 이번에 유포된 혹스메일은 '사용자 이메일주소 is compromised. password must be changed'라는 제목으로 유포되고 있습니다. 내용은 유출된 사용자의 계정정보를 통하여 사용자 PC에 악성코드 감염시켰으며, 사용자의 은밀한 행위를 캡쳐화면으로 저장해 놓고 있다고 밝히고 있습니다. 또한 이 캡쳐화면을 사용자 지인들에게 유포..

악성코드 분석 리포트 2018. 10. 29. 10:33

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 해외 성인광고 서버를 통해 Fallout Exploit Kit이 유포 되어 최신 보안업데이트가 제대로 이루어지지 않은 PC에서 해당 웹사이트를 방문 할 시 “갠드크랩(GandCrab) v5.0.3 랜섬웨어 악성코드”에 감염 될 수 있는 내용이 쓰렛인사이드(Threat Inside)를 통해 확인 되어 주의를 당부 드립니다. [그림 1] 성인광고 페이지 이미지 이번에 발견 된 멀버타이징에 사용 된 Fallout Exploit Kit은 사용자의 브라우저 프로필을 검사하여 조건에 부합 할 경우 악성 콘텐츠로 연결하게 됩니다. 조건에 맞는 사용자에게는 302 리다이렉션을 통해 광고 페이지가 아닌 Fallout Exploit Kit 랜딩 페이지로 접..

악성코드 분석 리포트 2018. 10. 25. 15:37

안녕하세요? 이스트시큐리티입니다. MS사의 Xamarin을 활용하는 또 다른 악성 앱이 등장하였습니다. 해당 앱은 구글 플레이스토어와 비슷한 이름과 아이콘을 사용하여 사용자를 속입니다. 지속적인 악성 행위를 위해서 앱의 아이콘을 숨기고 관리자 권한을 요구합니다. 또한, 원격 명령을 통해서 기기정보 탈취뿐만 아니라 문자기록, 주소록 등의 개인정보까지 탈취합니다. 무엇보다 가짜 사이트를 띄워 카드 관련 정보를 탈취합니다. 본 분석 보고서에서는 “Trojan.Android.Banker”를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 악성 행위 준비처음 악성 앱을 실행하면 사용자를 속이기 위해서 해당 앱의 아이콘을 숨기고 관리자 권한을 요구합니다. 관리자 권한을 허용하도록 유도하는 문구를 띄우고 관리자 권..

악성코드 분석 리포트 2018. 10. 25. 13:00

히든비어(Hidden Beer) 랜섬웨어가 국내로 유입된 것이 확인되었습니다. ※ 관련글보기 ▶ 한국에서 제작된 것으로 추정되는 Blacklistcp 랜섬웨어 등장▶ KimcilWare 랜섬웨어의 새로운 타깃이 된 Magento▶ 오픈소스 '교육용' 코드를 악용하는 Magic 랜섬웨어 발견 히든비어(Hidden Beer)는 교육용 목적으로 만든 오픈소스 프로젝트 히든티어(Hidden Tear)기반으로 제작된 랜섬웨어로, 원본 소스가 2015년 GitHub에 게시된 이후 교육용 목적으로 만들어진 이 오픈소스 제작툴을 공격자들이 다양한 형태로 커스터마이징하여 사용되고 있습니다. 히든티어 기반 랜섬웨어는 2018년 현재까지도 제작 및 유포되고 있는 상황입니다. [그림 1] 히든비어(Hidden Beer) 랜섬..

악성코드 분석 리포트 2018. 10. 25. 09:00

사용자 계정 정보를 탈취하는 네이버 피싱 사이트가 발견되어 사용자들의 주의가 필요합니다. 해당 피싱 사이트는 네이버 카페에 자극적인 문구로 유포되며 사용자들의 클릭을 유도합니다. [그림 1] 자극적인 문구의 피싱사이트 유포 게시물 자극적인 문구에는 구글 단축 url로 링크가 걸려있으며, 사용자가 해당 링크를 클릭 시 음란 동영상 재생 화면으로 위장한 피싱 사이트로 연결됩니다. [그림 2] 동영상 재생 화면으로 위장한 피싱 사이트 사용자가 동영상을 재생하기 위하여 재생 버튼을 클릭하면, 연령확인이 필요한 서비스라는 문구와 함께 네이버 계정 정보를 요구합니다. [그림 3] 네이버 피싱 사이트 만약 누군가 음란 동영상을 보기 위해 해당 페이지에 계정정보를 입력한다면, 입력한 개인정보는 모두 해커에게 넘어가게 ..

악성코드 분석 리포트 2018. 10. 24. 15:34

이스트시큐리티의 CTI 조직인 시큐리티대응센터(이하 ESRC)는 정부 차원의 후원을 받는 공격자(State-sponsored Actor)가 수행한 최신 지능형지속위협(APT) 캠페인을 확인했습니다. 수년간 연속성이 유지되던 APT 징후가 일정 기간 포착되지 않을 경우, 위협그룹이 새로운 침투를 준비하고 있거나 최신 공격 기술개발에 집중하고 있는 단계일 가능성이 있습니다. 이번 사이버 위협의 배후로 알려진 조직은 일명 '라자루스(Lazarus)'로 널리 알려져 있으며, 이미 유사한 공격 사례가 지속적으로 보고되고 있습니다. ESRC에서는 금년에 국내외에서 포착된 여러 건의 작전을 연속시리즈로 공개한 바 있으며, 공격에 사용한 익스포트 함수, 파일명 등의 키워드를 활용해 '작전명 배틀 크루저(Operatio..

악성코드 분석 리포트 2018. 10. 23. 23:00