안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 국내 실제 기업명을 사칭한 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다. ※ 관련글 보기▶ 암호화된 doc 파일이 포함된 악성 메일 유포 주의▶ 퍼블리셔(PUB) 파일이 첨부된 악성메일 주의▶ 사용자 정보 탈취 목적의 악성 파일이 첨부된 메일 주의▶ 계정 탈취 목적의 계약 체결 위장 악성 메일 주의 이번에 발견된 악성 메일은 ‘두산의 새로운 가격 문의’ 라는 제목으로 메일 본문에는 ‘상기 공사 관련 귀사 견적 의뢰 드립니다.’는 내용으로 첨부된 파일의 실행을 유도합니다. [그림 1] 수신된 메일 악성 메일에 첨부된 파일 ‘Technip FMC Project - EBSM PJT.rar’ 에는 실행 파일 있습니다. [그림 2] 첨부파일 ..

악성코드 분석 리포트 2018. 10. 5. 16:35

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 갠드크랩(GandCrab)의 변종이 몇 일 동안 꾸준히 발견되고 있는 가운데 갠드크랩(GandCrab) v5.0.4가 또 한번 발견되었습니다. ▶ GandCrab v5 랜섬웨어, 랜덤 확장자와 HTML 랜섬노트를 사용하고 ALPC 작업 스케쥴러 익스플로잇 악용해▶ GandCrab 랜섬웨어 5.0.1, 5.0.2 변종 지속적으로 유포 중! 이번에 발견된 GandCrab v5.0.4은 실행된 후 자신이 위치한 파일 경로에 동일한 사람 얼굴 이미지 파일 두 개를 드롭합니다. 드롭된 이미지 파일은 실제로 하는 역할은 없으며, 이번 갠드크랩 랜섬웨어 변종이 공격 타겟으로 삼고 있는 인물로 추정됩니다. [그림 1] 드롭되는 이미지 드롭되는 이미지는 실제로..

악성코드 분석 리포트 2018. 10. 4. 17:41

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 암호화된 doc 파일이 포함된 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다. ※ 관련글 보기 ▶ 퍼블리셔(PUB) 파일이 첨부된 악성메일 주의▶ 사용자 정보 탈취 목적의 악성 파일이 첨부된 메일 주의▶ 계정 탈취 목적의 계약 체결 위장 악성 메일 주의 이번에 발견된 악성 메일은 ‘Application’ 이라는 제목으로 메일 본문에는 Vicky Resume.doc파일을 열기 위한 패스워드가 있습니다. [그림 1] 수신된 메일 첨부된 doc 파일을 클릭하면 아래와 같이 패스워드 입력을 요구하는 창이 뜹니다. [그림 2] 패스워드 입력을 요구하는 창 패스워드를 입력한 후 본문 내용을 확인하면 아래와 같이 매크로 활성화를 유도합니다. ..

악성코드 분석 리포트 2018. 10. 1. 19:53

갠드크랩(GandCrab) v5.0이 발견된지 몇 일 되지 않아 또 다시 갠드크랩(GandCrab) v5.0.1 및 v5.0.2가 발견되었습니다. GandCrab v5.0.1은 다른 정상 프로세스에 인젝션 되어 실행되는데, 특정 조건에 따라 인젝션 대상이 달라집니다. 예를 들어 Flag값이 1일 경우 ‘%System32%svchost.exe’, 2일 경우는 ‘%System32%wermgr.exe’를 대상으로 합니다. [그림 1] 조건에 따른 인젝션 대상 프로세스 다음은 CreatePorcessInternalW 함수로 ‘wermgr.exe’ 프로세스에 인젝션 하는 코드의 일부입니다. [그림 2] ‘wermgr.exe’ 인젝션 코드 일부 인젝션 완료 후에는 NtResumeThread 함수를 이용하여 인젝션한..

악성코드 분석 리포트 2018. 10. 1. 18:58

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 퍼블리셔(PUB) 파일이 첨부된 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다. ※ 관련글 보기 ▶ 악성코드가 첨부된 무역 관련 악성 메일 주의 ▶ 사용자 정보 탈취 목적의 악성 파일이 첨부된 메일 주의 ▶ 스팸메일로 위장한 크립토재킹 공격 주의! ▶ 최신 공정위 로고를 사용한 공정위 사칭 악성 메일 주의 이번에 발견된 악성 메일은 ‘NEW PURCHASE ORDER’ 라는 제목으로 본문에는 매크로를 활성화 해달라고 영문으로 작성되어 있습니다. [그림 1] 수신된 메일 첨부 파일 ‘SKMT-83987488344-21.09.2018.pub’을 실행하면 아래와 같이 매크로 활성화를 유도합니다. MS Office에서 실행되는 퍼블리셔(..

악성코드 분석 리포트 2018. 9. 28. 17:32

추석 연휴동안 갠드크랩(GandCrab) v5가 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 갠드크랩(GandCrab) v5가 기존의 갠드크랩(GandCrab) v4.x와 비교하였을 때 달라진 점은 .KRAB이 아닌 5자리의 랜덤한 확장명을 사용한다는 점과, HTML 형식의 한국어 랜섬노트를 생성한다는 점입니다. 그 외의 대부분 행위는 기존의 버전과 유사합니다. 이번 갠드크랩 v5는 보안연구원 nao_sec에 의해 Fallout 익스플로잇 키트를 호스팅하는 사이트로 이동시키는 멀버타이징을 통해 배포 되는 것이 발견되었습니다. 이 익스플로잇은 방문자 SW에 존재하는 취약점을 활용하기 때문에 피해자들은 암호화된 파일과 랜섬노트를 발견하기 전 까지는 감염 사실을 눈치채기가 어렵습니다. 또한 GandC..

악성코드 분석 리포트 2018. 9. 27. 18:22

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 곧 다가올 추석에 가족, 친지들에게 선물 보내시느라 택배 서비스를 많이 이용하시고 있을 겁니다. 그런데 꾸준히 유포되고 있는 택배 사칭 스미싱이 명절 연휴를 앞두고 더욱 기승을 부리고 있어 사용자 분들의 주의가 필요합니다. 본 글에서는 택배 사칭 스미싱이 어떻게 전파 되어 설치 되는지 치료는 어떻게 하실 수 있는지 알아보고 이를 통해 택배 사칭 스미싱을 예방 하실 수 있는데 조금이나마 도움이 되기를 바라며 해당 악성앱 “Trojan.Android.SmsSpy”를 분석해 보도록 하겠습니다. 악성코드 분석 [그림 1] 스미싱 프로세스 그림1은 스미싱의 전체 흐름을 보여주고 있습니다. 이 과정을 자세히 살펴보도록 하겠습니다. 1. 스미싱 악성앱 유포 ..

악성코드 분석 리포트 2018. 9. 21. 18:10

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 사용자 정보 탈취 악성코드를 다운로드 하는 ‘견적 요청서’ 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다. ※ 관련글 보기 ▶ 악성코드가 첨부된 무역 관련 악성 메일 주의 ▶ 기업 거래내역 엑셀 문서파일로 위장한 APT 표적공격 주의 ▶ Trojan.Agent.FormBook 악성코드 분석 보고서 이번에 발견된 악성 메일 본문에는 “첨부한 샘플과 사양에 따라 긴급한 요구 사항이 있다”고 영문으로 작성되어있고 첨부 파일의 실행을 유도합니다. [그림 1] 수신된 메일 첨부 파일 ‘Quotation.zip’ 에는 실행 파일인 ‘Darfile.exe’ 파일이 담겨져 있습니다. [그림 2] 첨부된 ‘Quotation.zip’ 파일 만약 이..

악성코드 분석 리포트 2018. 9. 20. 17:16