■ 오퍼레이션 김수키의 최신 APT 공격, '작전명 원제로(Operation Onezero)' 배경 안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 저희는 지난 02월, 작전명 김수키(Operation Kimsuky)의 활동이 은밀하게 계속되고 있으며, 한국을 대상으로 한 APT(지능형지속위협) 공격이 활성화되어 있음을 알려드린 바 있습니다. ESRC에서는 정부차원의 후원을 받는 공격자(State-sponsored Actor)가 2018년 05월에 수행한 최신 표적형 APT 사례를 확보해 분석하였고, 흥미롭게도 김수키 작전에 사용된 '위협 벡터'(공격자가 침해대상에 사용한 접근수단)와 오버랩된다는 점을 발견했습니다. 해당 위협그룹과 개발코드가..

악성코드 분석 리포트 2018. 5. 28. 21:24

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 상품 배송 관련 내용으로 위장한 악성 메일들이 국내에서 지속적으로 발견되고 있어 주의를 당부드립니다. 이번에 발견된 메일들은 'DHL BILL OF LADING SHIPPING INVOICE DOCUMENTS'과 'Dhl shipment alert' 제목을 가지고 있습니다. 다음은 각 메일에 대한 분석 정보입니다. 1. DHL BILL OF LADING SHIPPING INVOICE DOCUMENTS 메일 본 메일은 'DHL BILL OF LADING SHIPPING INVOICE DOCUMENTS' 제목을 통해 선적 통지서로 위장하고 있으며, 예약된 배송물의 배송 추적 및 배송물의 자세한 정보 열람 내용으로 첨부 파일 실행을 유도합니다...

악성코드 분석 리포트 2018. 5. 25. 10:33

안녕하세요? 이스트시큐리티입니다. DNS 하이재킹을 이용한 안드로이드 악성 앱이 등장하였습니다. DNS 하이재킹은 라우터를 공격하여 사용자가 정상 사이트 접속 시 악성 사이트로 리다이렉트 되도록 합니다. 이후 페이스북, 크롬 등 유명한 앱으로 위장한 악성 앱을 사용자가 설치하도록 유도합니다. 사용자의 통화 내용을 녹음하고 설치된 은행 앱, 게임 앱 등과 관련된 정보들을 탈취합니다. 특히, C&C서버의 주소를 감추기 위해서 중국 사이트 파싱을 통해 주소를 수신하고 10개 이상의 원격 명령을 통해서 사용자의 기기를 실시간 제어합니다. 본 분석 보고서에서는 “Roaming Mantis”를 상세 분석하고자 합니다. 악성코드 상세 분석 1) 악성 행위 유지를 위한 장치가. 아이콘 숨김지속적인 악성 행위를 위하여 ..

악성코드 분석 리포트 2018. 5. 24. 17:00

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 텔레그램은 보안이 강력한 것으로 알려진 메신저 서비스로 알려져 있습니다. 문자나 사진, 문서 등을 암호화해서 전송할 수 있고 대화 내용의 흔적이 남지 않는다는 컨셉으로 사생활을 중시하는 사람들 사이에서 인기를 끌고 있습니다. 그러나 Instalador 랜섬웨어, BlackRouter 랜섬웨어, GlobeImposter 랜섬웨어, CryptOn 랜섬웨어 등 암호화 완료 후 고객과의 서비스 채널(?)로 텔레그램를 이용하고 있고, 앞으로도 좋은 보안성으로 인해 랜섬웨어 제작자들이 사용할 것으로 보입니다. 랜섬웨어는 파일 암호화 완료 후 복호화를 위해 다양한 채널로 고객과 소통을 합니다. 하지만 주로 네트워크 우회와 익명성를 위해 사용되는 Tor 브라..

악성코드 분석 리포트 2018. 5. 23. 15:32

안녕하세요? 이스트시큐리티입니다. 올해 초 외국에서 스팸 메일과 익스플로잇 킷을 통해 ‘Trojan.Ransom.GandCrab’(이하 GandCrab 랜섬웨어)이 처음 등장하였으며, 최근 국내에서도 GandCrab 변종들이 다수 발견되고 있습니다. GandCrab 랜섬웨어는 파일 암호화 기능을 수행하며, 암호화된 파일 뒤에 ‘.CRAB’ 확장자를 추가하는 점이 특징입니다. 따라서 본 보고서에서는 GandCrab 랜섬웨어를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 중복 실행 방지중복 실행 방지를 위해 뮤텍스 값을 ‘Global\pc_group=(소속 그룹)&ransom_id=(사용자 ID)’으로 생성합니다. 만일 동일한 프로세스가 실행 중인 경우 종료합니다. pc_group과 ransom_id ..

악성코드 분석 리포트 2018. 5. 23. 09:55

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 HTML 피싱 파일이 첨부된 악성 메일이 유포되고 있어 주의를 당부드립니다. 이번에 발견된 악성 메일은 포장 명세서 확인 내용으로 위장하였으며, 실제 국내에서 운영 중인 중소기업 이름이 사용되었습니다. [그림 1] 포장 명세서 위장 악성 메일 또한 이메일 헤더 중 bcc(숨김 참조)에 다수의 수신 참조자가 있고, 모두 동일한 메일 서비스를 사용하고 있습니다. [그림 2] 포장 명세서 위장 악성 메일 첨부된 파일 'PACKING LIST.html'은 포장 속 내용 정보 목록이 아닌 국내 포털 사이트의 아이디 및 비밀번호를 입력하도록 유도하는 HTML 파일입니다. 만일 이용자가 열람을 위해 첨부 파일을 실행할 경우 '세션하시기 바랍니다 다시 ..

악성코드 분석 리포트 2018. 5. 16. 16:28

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 과거에 보고된 바 있었던 CryptON(크립트온) 랜섬웨어 변종이 최근 다시 발견되고 있어 사용자들의 주의를 당부드립니다. 해당 랜섬웨어에 구글 지메일 계정(account-gmail.net)으로 위장한 도메일을 통해 유포되고 있으며, 감염되면 %appdata% 폴더 아래에 “사용자 계정” 이름으로 폴더를 생성하고, “사용자계정_body.exe” 이름의 악성코드를 드롭하는 특징이 있습니다. [그림 1] 사용자계정_body.exe 파일 생성 암호화 대상을 확인하기 전 러시아어를 사용하는 환경인지 확인을 합니다. 러시아어 환경의 기기에서는 암호화를 진행하지 않고, 프로세스를 종료합니다. (RU - 러시아, KZ - 카자흐스탄, BY - 벨라루스, ..

악성코드 분석 리포트 2018. 5. 15. 18:37

안녕하세요? 이스트시큐리티 위협인텔리전스 전문조직인 시큐리티대응센터(이하 ESRC)입니다. 2018년 05월 14일 한국의 유명 택배회사의 배송팀으로 위장된 이메일로 '갠드크랩(GandCrab) 랜섬웨어 변종'이 유포되고 있어 이용자분들의 각별한 주의가 요망됩니다. 동일한 공격자는 2016년 말부터 2017년까지 비너스락커(VenusLocker) 랜섬웨어를 유포했고, 초기에 매크로 기능을 이용한 방식을 사용한 바 있습니다. 그 이후에 바로가기(.LNK) 파일과 랜섬웨어 메인 실행파일(.EXE)을 연결하는 수법을 주로 많이 사용했고, 일부 악성문서에서는 중국식 폰트(DengXian)가 사용된 바 있습니다. 아래는 실제 유포에 사용된 이메일의 화면으로 유창한 한국어로 작성되어 있으며, 마치 실제 택배 배송관..

악성코드 분석 리포트 2018. 5. 15. 08:47