안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. 과거 비너스락커(VenusLocker) 랜섬웨어를 뿌렸던 조직이 지난 11월 15일 입사지원서를 사칭해 갠드크랩(GandCrab) v5.0.4 랜섬웨어를 한국에 대량으로 유포하고 있는 내용을 공개한 바 있습니다. 동일한 조직이 지난 주말부터 한국에서 개발된 'Berryz WebShare (베리즈 웹쉐어)' 파일공유 서버를 구축해 또 다른 갠드크랩 v5.0.4 변종을 유포하고 있어 각별한 주의가 요망됩니다. [그림 1] 베리즈 웹쉐어 서버로 유포 중인 갠드크랩 랜섬웨어 화면 ESRC에서는 해당 위협조직이 지난 주 이미 해당 서버를 구축하고 있다는 사실을 확인해, 지속적으로 공격자를 추적 감시하고..

악성코드 분석 리포트 2018. 11. 19. 13:41

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 상품 배송 관련으로 위장한 악성 피싱 메일이 발견되어 주의를 당부드립니다. 본 메일은 “Shipment B/L” 제목으로 전파되고 있으며, 특히 첨부파일에 송장과 물건 리스트가 있는 것처럼 사용자들을 속여 사용자들의 클릭을 유도 하고 있습니다. [그림 1] 피싱 사이트가 포한 된 메일 본문 사용자가 첨부파일을 확인하기 위해 클릭 하는 순간 피싱 사이트로 연결됩니다. [그림 2] 다음 메일 피싱 사이트 사용자가 송장 리스트를 확인하기 위해 해당 페이지에 계정정보를 입력한다면, 입력한 개인정보는 모두 제작자에게 넘어가게 됩니다. [그림 3] 사용자 계정정보 전송 화면 본 메일에 기재 된 사이트를 분석 중 제작자의 피싱 사이트 리스트를 확인 하..

악성코드 분석 리포트 2018. 11. 19. 11:45

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 매크로를 이용한 송장 관련 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다. ※ 관련글 보기 ▶ Trojan.Agent.Emotet 악성코드 분석 보고서 ▶ [업데이트][주의] 견적서를 위장한 악성메일 지속적으로 유포중! 사용자들의 주의 필요 ▶ 특정 기업의 프로젝트 파일처럼 위장한 악성 메일 유포 주의 ▶ 국내 실제 기업명을 사칭한 악성 메일 유포 주의 이번에 발견된 악성 메일은 ‘INVOICE #00U9404’ 라는 제목으로 메일 본문에는 ‘Please find attached copy of your latest invoice’ 라는 내용으로 첨부된 파일의 실행을 유도합니다. [그림 1] 수신된 메일 이용자가 첨부 파일 ‘Invoic..

악성코드 분석 리포트 2018. 11. 16. 17:04

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 특정 정부가 배후에 있는 것으로 알려져 있는 위협그룹 중에 '금성121(Geumseong121)' 조직은 글로벌 보안회사들이 다양한 이름으로 명명하고 있습니다. 그중 대표적 그룹명을 알파벳 순으로 나열하면 'APT37', 'Group123', 'RedEyes', 'ScarCruft' 등이 있습니다. 지난 02월 저희는 이 위협그룹이 카카오톡 메신저로 'Flash Player Zero-day (CVE-2018-4878)' 취약점 공격을 수행한 사례를 소개한 바 있으며, 그 이후에도 스피어 피싱(Spear Phishing)을 통해 한국에 집중 표적공격을 수행하고 있다는 것을 확인했습니다. 그리고 0..

악성코드 분석 리포트 2018. 11. 16. 15:45

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. 2018년 11월 15일부터 입사지원서를 사칭한 악성 이메일을 통해 한국의 불특정 다수의 이용자들에게 랜섬웨어가 급속 유포되고 있어 각별한 주의가 필요합니다. 추가 위협 분석자료는 이스트시큐리티 악성코드 위협대응 솔루션인 쓰렛 인사이드(Threat Inside) 서비스를 통해서도 확인해 보실 수 있습니다. [그림 1] 비너스락커 랜섬웨어 유포 조직이 입사지원서를 사칭해 유포 중인 악성 이메일 화면 한국에 유포된 악성파일은 갠드크랩(GandCrab) 랜섬웨어 v5.0.4 변종이며, 마이크로소프트사 오피스 문서파일(.DOC)의 악성 매크로 기능을 통해 다량 전파되었습니다. 해당 위협그룹은 기존 비..

악성코드 분석 리포트 2018. 11. 15. 18:31

안녕하세요. 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. 특정 정부가 배후에 있는것으로 알려져 있는 국가기반 해킹그룹 일명 '라자루스(Lazarus)'는 지난 03월 해외의 암호화폐 거래소 및 핀테크 관련 회사를 공격시도했던 것으로 알려져 있습니다. 물론, 해외뿐만 아니라, 최근 한국의 특정 대상을 상대로 은밀한 스피어피싱(Spear Phishing) 공격이 포착된 바 있고, 알약 블로그에서는 '라자루스 최신 APT 작전 '배틀 크루저(Operation Battle Cruiser) 재등장' 내용으로 공개한 바 있습니다. 지난 03월 해외에서 보고되었던 악성파일은 당시 MS Word 문서포맷에 악성 매크로(Macro)코드를 삽입한 형태이며, 미끼(De..

악성코드 분석 리포트 2018. 11. 13. 10:24

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. ESRC에서는 최근 발견된 KRBanker 악성앱이 기존의 KRBanker보다 한층 더 정교하고 교묘하게 공격하도록 제작되어 유포되고 있는 것을 확인했습니다. 특히, 이 악성앱은 마치 스미싱과 보이스피싱 등이 결합된 형태로 진화된 형태로 볼 수 있습니다. 이 악성앱은 248개의 금융기관 전화번호로 발신을 감시하며 피해자가 특정 금융기관에 통화를 시도할 경우 보유하고 있는 음성 녹음 파일을 재생하고, 공격자에게 전화통화를 포워딩 하는 기능을 가지고 있습니다. 이때부터는 일종의 보이스피싱으로 사이버범죄가 진행될 수 있습니다. 해당 악성앱은 최근 이슈가 되고 있는 샘플로서 인증서 생성 시간은 2018년 11월 06일로 최근에 제작된 샘플이라는 ..

악성코드 분석 리포트 2018. 11. 7. 15:55

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. ESRC에서는 지난 2018년 10월 31일 제작된 최신 APT공격용 악성파일을 다수 발견해 긴급 대응을 완료하였습니다. 이 악성파일들은 한국시간(KST) 기준으로 10월 31일 00시 48분경 부터 13시 15분경 사이에 집중적으로 빌드되었고, 감염 환경에 따라 32비트와 64비트용이 각각 다르게 생성됩니다. 특히, 이 악성파일들은 한국의 특정 보안제품 아이콘으로 위장하고 있으며, 해당 리소스와 그룹 아이콘 등의 언어가 한국어 코드(1042)로 설정되어 있고, 컴퓨터가 감염될 경우 시스템의 주요 정보와 키보드 입력내용, 사용자 계정 등의 민감 자료가 외부로 무단 유출될 수 있습니다. [그림 ..

악성코드 분석 리포트 2018. 11. 2. 01:44