안녕하세요? 이스트시큐리티입니다. 최근 노스캐롤라이 주 잭슨빌에 위치한 수도사업소에 랜섬웨어 공격이 발생하여 시스템 운영이 마비되었습니다. 이 공격에 사용된 악성코드는 Ryuk 랜섬웨어로 밝혀졌습니다. 해당 랜섬웨어는 올해 초 유포되었던 Hermes 랜섬웨어의 변종으로 많은 유사성을 가집니다. 따라서, 본 보고서에서는 Ryuk 랜섬웨어의 악성 행위와 이를 예방하기 위한 방법에 대해 적고자 합니다. 악성코드 상세 분석 1. 프로세스 인젝션 사용자로부터 감염 사실을 은폐하기 위해 실행 중인 프로세스 중 임의로 선택하여 파일 암호화를 수행하는 코드를 인젝션합니다. 이 과정에서 ‘csrss.exe’, ‘explorer.exe’, ‘lsaas.exe’는 제외됩니다. 이는 시스템 안정성과 인젝션을 통한 탐지를 우회..

악성코드 분석 리포트 2018. 10. 23. 17:57

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 한국어로 된 이미지로 사용자 PC화면을 변경하는 크라켄 랜섬웨어 (KrakenCryptor) v.2.0.6과 v2.0.7이 발견되어 이용자들의 주의를 당부드립니다. ‘KrakenCryptor’ 랜섬웨어는 기존과 다르게 악성코드 분석을 방해하기 위해서 문자열들을 암호화하여 난독화를 시킵니다. 또한 사용자 PC 언어설정이 아르메니아(AM), 아제르바이잔(AZ), 벨라루스(BY) 등 17개 국가로 설정이 되어있는 경우 암호화를 진행하지 않습니다. 다음은 암호화 환경을 확인하는 화면입니다. [그림 1] 암호화 환경 확인 화면 ‘KrakenCryptor’ 랜섬웨어는 400여개의 확장자를 대상으로 암호화를 진행합니다. 다음은 암호화 대상 확장자 목록..

악성코드 분석 리포트 2018. 10. 23. 17:32

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 비너스락커 랜섬웨어를 유포하였던 조직들이 최근 국내 사용자들 대상으로 갠드크랩(GandCrab) v5.0.3을 유포중에 있어 사용자들의 주의가 필요합니다. ※ 관련글 보기 ▶ 비너스 락커! 이번에는 DOC 문서 취약점을 이용하여 유포 중▶ 가상화폐 채굴 공격으로 귀환한 비너스락커 랜섬웨어 제작자 현재 유포중인 갠드크랩(GandCrab) v5.0.3은 이미지 무단사용 관련 내용, 입사지원서 등의 파일을 위장하여 유포되고 있으며, 바로가기 형태로 유포되고 있어 일반 사용자들은 악성파일인지 판단하기 어렵습니다. [그림 1] 악성 바로가기 화면 이러한 바로가기 형태의 악성코드들은 이미지 파일이나 문서 파일을 위장하고 있지만, 실제로 해당 바로가기를 클..

악성코드 분석 리포트 2018. 10. 22. 16:22

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 국내 유명 사이버 학습원에서 CK VIP Exploit을 통한 KRBanker 악성코드 유포가 확인되어 주의를 당부 드립니다. 악성코드가 유포되는 사이트는 정상적인 스크립트 파일 내부에 악성 스크립트를 삽입하여 악성 URL로 연결 시키고 있습니다. [그림 1] 해당 사이트에 삽입 된 악성 스크립트 코드 화면 취약한 윈도우 및 소프트웨어를 사용 중인 사용자가 해당 사이트를 방문 할 경우 Drive By Download 기법에 의해 악성코드가 다운로드 및 실행 될 수 있습니다. 이스트시큐리티 악성코드 위협 대응 솔루션 Threat Inside(쓰렛인사이드)에 분석 된 데이터에 의하면 2018년 10월 19일 09시에 해당 사이트에서 최초 악성코드가..

악성코드 분석 리포트 2018. 10. 19. 18:01

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. ESRC에서는 2018년 10월 18일 새로운 'KONNI' 캠페인의 활동을 발견했습니다. 'KONNI' 시리즈는 지난 2014년부터 주로 북한관련 내용을 담고 있는 미끼 파일로 유혹하고 있으며, 한국 언론매체를 통해 알려진 기사를 활용하고 있기도 합니다. 해당 위협 그룹은 주로 스피어 피싱(Spear Phishing) 공격을 통해 문서 파일 형태로 위장한 EXE, SCR 실행파일 형식이나 실제 문서파일(DOC 등) 취약점을 활용하기도 합니다. 이번에 새롭게 발견된 최신 'KONNI' 변종은 기존과 유사하게 EXE 악성코드 내부에 2개의 리소스 모듈을 숨기고 있으며, 악성파일 개발에 다음과 같..

악성코드 분석 리포트 2018. 10. 18. 17:25

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 견적서 요청 내용의 악성 메일이 지속적으로 발견되어 사용자들의 주의가 필요합니다. 유사한 내용의 악성메일은 올해 3월부터 꾸준히 발견되고 있습니다. ※ 관련글 보기 ▶ 악성코드가 첨부된 무역 관련 악성 메일 주의 ▶ 상품 구매를 희망하는 내용의 악성 메일 주의 ▶ 상품 관련 내용으로 유포되는 악성 메일 주의 ▶ ‘견적 의뢰’ 제목의 악성 메일 주의 ▶ 제품 견적서 확인 내용으로 위장한 악성 메일 주의 ▶ ACE 압축 파일이 첨부된 악성 메일 주의 ▶ ‘견적 의뢰’ 제목의 악성 메일 주의 이번에 발견된 악성메일은 견적서 관련 내용으로 유포중에 있으며, 특이한 점은, 이전의 악성메일들과 다르게 수신회사의 도메인 주소를 메일 본문에 첨부해 놓았습니다..

악성코드 분석 리포트 2018. 10. 18. 09:41

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 특정 기업의 프로젝트 파일처럼 위장한 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다. ※ 관련글 보기▶ Trojan.Agent.FormBook 악성코드 분석 보고서▶ 퍼블리셔(PUB) 파일이 첨부된 악성메일 주의▶ 사용자 정보 탈취 목적의 악성 파일이 첨부된 메일 주의▶ 계정 탈취 목적의 계약 체결 위장 악성 메일 주의 이번에 발견된 악성 메일은 ‘(기계설비, 금속구조물)PROJECT.20181012’ 라는 제목으로 메일 본문에는 ‘첨부된 파일 참조하여 주시기 바랍니다.’ 라는 내용으로 첨부된 파일의 실행을 유도합니다. [그림 1] 수신된 메일 메일에 첨부된 파일 ‘(기계설비,금속구조물)PROJECT.20181012.ace’ 에는 악성..

악성코드 분석 리포트 2018. 10. 15. 15:50

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 복수의 애플 아이디 피싱 메일이 국내에 유포되고 있어 사용자들의 주의가 필요합니다. 이 피싱 메일은 Apple Support 및 Apple Care라는 제목으로 유포되고 있으며, 워드 혹은 PDF 파일이 첨부되어 있습니다. 피싱 메일에 첨부되어 파일에는 고화질 촬영 어플이 결제되었다는 내용 혹은 의심스러운 로그인 시도가 포착되어 사용자의 계정 보호를 위해 Apple ID를 잠궈놓았다는 내용 등 사용자의 클릭을 유도하는 내용이 포함되어 있습니다. 하지만 실제 첨부파일 안에 포함되어 있는 하이퍼링크가 정상적으로 동작하지 않아 계정 정보를 입력하는 홈페이지에 정상적으로 접근할 수 없습니다. 이에 아직까지 사용자들의 계정 유출 피해는 없을 것으로 추정..

악성코드 분석 리포트 2018. 10. 15. 09:51