안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 악성 매크로가 포함된 수수료 관련 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다. ※ 관련글 보기 ▶ 매크로를 이용한 송장 관련 악성 메일 유포 주의▶ Trojan.Agent.Emotet 악성코드 분석 보고서▶ [업데이트][주의] 견적서를 위장한 악성메일 지속적으로 유포중! 사용자들의 주의 필요▶ 특정 기업의 프로젝트 파일처럼 위장한 악성 메일 유포 주의▶ 국내 실제 기업명을 사칭한 악성 메일 유포 주의 이번에 발견된 악성메일은 수수료에 관련된 내용으로, project-agreement 제목의 악성 매크로가 포함된 doc 파일이 첨부되어 있습니다. 사용자가 해당 파일을 실행하면 매크로 활성화를 유도하며, 사용자가 매크로 기능을 활성화 ..

악성코드 분석 리포트 2018. 12. 7. 15:16

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 프린터에서 영문으로 된 이상한 인쇄물들이 출력되어 프린터 해킹이 의심 된다는 제보가 이어지고 있습니다. 인쇄 페이지에는 Printeradvertising.com이라고 불리는 새로운 서비스가 출시되었으며, 이 서비스는 전 세계에 모든 연결된 프린터들에 바이럴 광고가 가능하다고 홍보하고 있습니다. 보안회사 CEO인 Morris는 허니팟을 통해 194.36.173.50 IP 주소에서 적어도 60개 이상의 악의적인 인쇄작업 요청을 감지했다고 밝혔습니다. Bad Packets Report와 Pishing AI‏는 이 IP 주소가 피싱 키트, C2 서버, Lokibot와 같은 악성 프로그램 등의 악성 활동으로 알려진 서브넷에 속한다고 명시하고 있습니..

악성코드 분석 리포트 2018. 12. 6. 17:02

중국 보안업체360은 11월 29일, 2건의 새로운 Flash 0day 취약점 악성파일을 발견하였습니다. 이번 APT 공격은 러시아 또는 우크라이나를 타겟으로 진행된 것으로 추정되고 있습니다. 악성 DOCX 문서파일이 바이러스토탈에 업로드된 곳은 우크라이나 지역이었습니다. [그림 1] 우크라이나에서 보고된 악성 문서파일 실행화면 공격자는 Flash 0-day 취약점이 포함된 Word 파일을 사용자에게 발송하며, 사용자가 해당 파일을 클릭할 경우, 백도어가 실행되며 공격자가 사용자 PC에 원격코드실행이 가능합니다. 악성 워드문서 내부에는 'activeX1.bin' 플래시 파일이 포함되어 있으며, 액션스크립트 바이트 코드 내부에 바이너리 데이터가 포함되어 있습니다. [그림 1-1] 'activeX1.bin'..

악성코드 분석 리포트 2018. 12. 6. 09:08

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. GandCrab 5.0.9 버전이 등장하여 사용자들의 주의가 필요합니다. ※ 관련 글 보기▶ 복호화 툴로 복구 불가능한 갠드크랩(GandCrab) 5.0.5 변종 발견!▶ 멀버타이징 기법으로 유포 중인 갠드크랩(GandCrab) v5.0.3 주의!!▶ 비너스락커 조직이 유포중인 갠드크랩(GandCrab) v5.0.3 주의!▶ 갠드크랩(GandCrab) 랜섬웨어 5.0.1, 5.0.2 변종 지속적으로 유포 중! GandCrab 5.0.9 버전은 기존의 GandCrab 랜섬웨어와 다르게 "We will become back very soon! ;)" 이라는 팝업창을 띄웁니다. 사용자가 확인 버튼을 클릭한다면 기존의 갠드크랩들과 동일하게 파일들을 ..

악성코드 분석 리포트 2018. 12. 5. 11:40

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 갠드크랩 랜섬웨어가 이번에는 내부 ‘바로가기’ 파일(LNK)을 새로 변경하여 유포되고 있어 사용자들의 각별한 주의가 필요합니다. ※ 관련 글 보기 ▶ 임금체불 관련 출석요구서로 사칭한 갠드크랩 랜섬웨어 감염 주의 ▶ 비너스락커 랜섬웨어 조직, 베리즈 웹쉐어를 통해 갠드크랩 국내 다량 유포 ▶ 비너스락커 위협조직, 입사지원서로 위장해 갠드크랩 랜섬웨어 한국에 급속 유포 중 갠드크랩 랜섬웨어는 “이미지 무단 사용 안내메일”로 위장하고 있으며, 압축 파일이 첨부되어 있습니다. [그림 1] 수신된 메일 첨부파일 ‘이미지무단사용내용정리.alz’에는 2개의 jpg 파일’1.원본이미지, 2원본이미지’,’내용정리(링크포함)과 GandCrab 랜섬웨어인 ‘ma..

악성코드 분석 리포트 2018. 12. 3. 17:53

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 갠드크랩 랜섬웨어가 또 다시 이력서로 위장하여 유포되고 있어 사용자들의 각별한 주의가 필요합니다. ※ 관련 글 보기 ▶ 임금체불 관련 출석요구서로 사칭한 갠드크랩 랜섬웨어 감염 주의 ▶ 비너스락커 랜섬웨어 조직, 베리즈 웹쉐어를 통해 갠드크랩 국내 다량 유포 ▶ 비너스락커 위협조직, 입사지원서로 위장해 갠드크랩 랜섬웨어 한국에 급속 유포 중 갠드크랩 랜섬웨어는 이력서 이메일로 위장하고 있으며, 악성 워드파일이 첨부되어 있습니다. [그림 1] 수신된 메일 만약 이용자가 첨부 파일 ‘양희종 지원서.doc’를 클릭할 경우 아래와 같이 매크로 실행을 유도 합니다. [그림 2] 매크로 실행을 유도하는 DOC 파일 이용자가 자세한 정보를 열람하기 위해 매..

악성코드 분석 리포트 2018. 11. 27. 15:42

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 특정 정부가 배후에 있는 것으로 알려져 있는 위협그룹 중에 안보·외교·통일 관련 분야의 정보를 노린 조직은 2014년 한국의 특정 전력회사에 대한 사이버 공격으로 널리 알려져 있습니다. ESRC에서는 해당 위협그룹이 최근 다양한 APT 공격을 수행하고 있는 정황을 포착해, 지속적인 관찰을 수행하고 있습니다. 지난 2월 '오퍼레이션 김수키(Kimsuky)의 은밀한 활동, 한국 맞춤형 APT 공격은 현재 진행형'으로 공개된 내용과 5월 "판문점 선언 관련 내용의 문서로 수행된 '작전명 원제로(Operation Onezero)' APT 공격 분석" 내용으로 일부 공개된 바 있습니다. 그리고 이번 최신..

악성코드 분석 리포트 2018. 11. 27. 09:14

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 계정 서비스가 보안상으로 잠겨서 로그인을 통해 신원정보 하라는 악성 피싱 메일이 발견되어 주의를 당부드립니다. 본 메일은 “마지막 경고” 제목으로 전파되고 있으며, 보안상의 이유로 사용자 계정 서비스를 처리 할 수 없고 포털 사이트의 모든 서비스가 일시 중지 된다고 사용자를 속입니다. 이후 신원정보를 위해 제작자가 만들어 둔 피싱 사이트에 로그인을 하도록 사용자들의 클릭을 유도 합니다. [그림 1] 피싱 사이트가 포한 된 메일 본문 사용자가 로그인을 위해 클릭 하는 순간 국내 포탈 피싱 사이트로 연결됩니다. [그림 2] 다음 메일 피싱 사이트 사용자가 신원 정보를 확인하기 위해 해당 페이지에 계정 정보를 입력한다면, 입력한 개인정보는 모두..

악성코드 분석 리포트 2018. 11. 26. 16:30