안녕하세요? 이스트시큐리티입니다. 텔레그램을 이용하는 새로운 형태의 안드로이드 악성 앱이 등장하였습니다. 이전에도 텔레그램을 봇을 악용한 악성앱은 있었지만, MS사의 Xamarin을 활용한 C#으로 제작된 앱으로서는 처음입니다. 이 앱은 텔레그램 봇을 활용하여 원격으로 명령을 보냅니다. 원격 명령은 악성 행위와 관련되어 있고 오디오 제어, 카메라 제어, 메시지 탈취 등 개인의 사생활과 관련된 악성 행위를 합니다. 본 분석 보고서에서는 'Trojan.Android.HiddenApp'를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 앱 은닉앱을 처음 실행하면 앱이 삭제됐다는 문구를 띄우고 아이콘을 숨겨 사용자를 속입니다. 그러나 실제로는 서비스 형태로 실행되어 악성 행위를 시작합니다. 해당 문구는 페르시..

악성코드 분석 리포트 2018. 7. 23. 16:27

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 지속적으로 상품, 주문, 화물과 같은 무역 관련 내용이 담긴 악성 메일이 유포되고 있어 이용자들의 주의를 당부드립니다. 이번에 발견된 악성 메일은 바이어로서 상품 구매를 희망한다는 내용으로, 상품 리스트로 위장한 악성 파일의 실행을 유도합니다. [그림 1] 상품 구매 희망을 원하는 내용으로 위장한 악성 메일 이용자가 무심결에 첨부 파일 '60278411.DOC'를 실행할 경우, 상품 관련 내용이 아닌 아무런 의미가 없는 텍스트만 보여줍니다. [그림 2] 의미 없는 내용이 담긴 '60278411.DOC' 악성 파일 하지만 'EQNEDT32.exe' 프로세스에서 MS-Office 취약점(CVE-2017-11882)에 의해 'http://sulrev..

악성코드 분석 리포트 2018. 7. 19. 14:02

안녕하세요? 이스트시큐리티입니다. 최근 다양한 랜섬웨어가 지속적으로 유포되고 있는 가운데 2017년 9월에 활동했던 Paradise 랜섬웨어 변종이 새롭게 발견되었습니다. 이번에 발견된 Paradise 랜섬웨어는 기존과 마찬가지로 사용자의 중요 파일을 암호화하고 파일 확장자를 .paradise로 변경합니다. 시스템 운영에 필요한 일부 파일을 제외하고 확장자 상관없이 모든 파일을 암호화하기 때문에 감염되면 큰 피해를 입을 수 있으므로 사용자의 주의가 필요합니다. 따라서 본 보고서에서는 새롭게 발견된 Paradise 랜섬웨어를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 시스템 언어 및 국가 코드 확인 Paradise 랜섬웨어는 감염될 사용자 PC의 시스템 언어와 IP주소 대역의 국가 코드를 확인하여 ..

악성코드 분석 리포트 2018. 7. 19. 08:00

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 첨부된 주문서 내용을 확인해달라는 내용의 악성 메일이 국내에 유포되고 있어 주의를 당부드립니다. 이번에 발견된 메일은 견적서 제출 및 주문서를 확인해달라는 내용으로 첨부 파일 실행을 유도합니다. [그림 1] 견적 제출 내용으로 위장한 악성 메일 첨부 파일에는 'jpg.PO_89474973_REF-JULY.lzh', 'jpg.PO_89474973II-JULY.uue'이 있고, 압축 파일 내부에 각각 동일한 악성 행위를 수행하는 'jpg.PO_89474973II-JULY.exe' 파일이 있습니다. [그림 2] 메일에 첨부된 'jpg.PO_89474973II-JULY.uue' 압축 파일 만약 이용자가 제품 주문서로 착각하여 파일을 실행할 경우, 'R..

악성코드 분석 리포트 2018. 7. 16. 11:20

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 수입 세금 계산서로 위장한 악성 메일을 통해 정보 탈취 목적의 악성코드가 국내에 유포되고 있어 이용자들의 주의를 당부드립니다. ※ 관련글 보기 ▶ 상품 관련 내용으로 유포되는 악성 메일 주의 ▶ 지속적으로 국내에 유입되는 배송 위장 악성 메일 주의 수입 세금 계산서로 위장한 악성 메일은 모두 동일한 내용을 가지고 있으며, 동일한 첨부 파일 'Tax_Invoice_1308182689,pdf.ace'을 실행하도록 유도합니다. [그림 1] 수입 세금 계산서 안내 악성 메일 (1) [그림 2] 수입 세금 계산서 안내 악성 메일 (2) 상기 해당 메일들에 첨부된 파일 'Tax_Invoice_1308182689,pdf.ace'에는 'Tax_Invoi..

악성코드 분석 리포트 2018. 7. 13. 14:17

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 정보 탈취 악성코드를 다운로드하는 '피고 소환장' 악성 메일이 국내에 유포되고 있어 주의를 당부드립니다. ※ 관련글 보기 ▶ 피고 소환장 통지서로 사칭한 GandCrab 랜섬웨어 유포 주의 이번에 발견된 악성 메일은 지난 GandCrab 랜섬웨어 유포에 사용된 악성 메일과 동일하며, 통지서로 위장한 첨부 파일 실행을 유도합니다. [그림 1] 피고 소환장으로 위장한 악성 메일 첨부파일 'CV789507.zip'에는 악성 자바 스크립트 파일인 'CV789507.jse' 파일이 담겨져 있습니다. [그림 2] 첨부 파일 'CV7898507.zip' 만일 이용자가 jse 파일을 통지서로 착각하고 실행할 경우, 아래의 C&C에서 데이터를 가져온 뒤,..

악성코드 분석 리포트 2018. 7. 11. 13:23

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 .KRAB 확장자로 파일을 암호화하는 GandCrab 4.0 버전의 랜섬웨어가 등장하여 이용자들의 주의를 당부드립니다. 이번에 발견된 GandCrab 4.0이 실행될 경우 먼저 다음의 프로세스를 종료합니다. 종료되는 프로세스에는 SQL 관련 프로그램 및 오피스, 스팀과 같은 프로그램이 있습니다. 이는 암호화 대상 파일의 쓰기 권한을 확보하기 위함으로 보여집니다. msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, agntsvc.exeisqlplussvc.exe, xfssvccon.exe, sqlser..

악성코드 분석 리포트 2018. 7. 6. 14:35

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 화물 운송 문의로 위장한 악성메일로 정보 탈취 목적의 악성코드가 국내에 유포되고 있어 주의를 당부드립니다. ※ 관련글 보기 ▶ "견적서.exe" 이메일로 유포되는 계정정보 전송 악성코드 주의 이번에 발견된 악성 메일은 화물 운송 문의 내용이 담겨 있으며, 특징적으로 FOB, CIF와 같은 무역 용어가 사용되었습니다. [그림 1] 화물 운송 문의로 위장한 악성 메일 메일에 첨부된 파일 'Quote001993842.ace'에는 'Quote001993842.com'가 있습니다. [그림 2] 첨부 파일 'Quote001993842.ace' 이용자가 만일 'Quote001993842.com' 악성 PE 파일을 실행할 경우 사용자 PC 정보와 함께 ..

악성코드 분석 리포트 2018. 7. 5. 11:44