안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 국내 가상화폐 커뮤니티 및 사이트 게시판에서 외국 가상화폐 사용 설명서 글로 위장된 게시물로 악성코드를 유포하려는 정황이 포착되어 주의를 당부 드립니다. 공격자는 악성코드가 유포되는 사이트 주소와 함께 해외 코인거래소의 재정거래, 마진거래 등에 대한 설명과이용방법이 소개된 게시물을 작성하였습니다. 이를 통해 가상 화폐 거래에 관심 많은 이들을 현혹하려는 것으로 보여집니다.[그림 1] 커뮤니티에 올라온 가상화폐 설명서 게시물 만일 사용자가 호기심에 게시물에 표기된 주소로 접속할 경우, 가상 화폐 거래소 화면과 함께 취약점이 포함된 스크립트가 은밀히 실행됩니다. [그림 2] 가상화페 거래소로 위장한 화면 마치 가상화폐 거래소 화면처럼 교묘하게..

악성코드 분석 리포트 2018. 4. 23. 10:57

안녕하세요? 이스트시큐리티입니다. 2014년 독일 및 오스트리아 은행 고객을 대상으로 처음 등장한 EMOTET 악성코드가 최근 다시 등장하고 있습니다. EMOTET 악성코드는 사용자 PC를 감염시키고, C&C 통신을 통해서 시스템 정보와 금융 정보를 탈취하는 등의 악성 행위를 시도합니다. EMOTET 악성코드는 주로 이메일을 통해 유포됩니다. 공격자는 이메일 안에 악의적인 스크립트가 포함된 문서 파일을 첨부하거나, 악성코드가 다운로드되는 URL링크를 삽입하는 방식을 사용합니다. 또한 사용자가 관심 가질만한 거래 및 청구서 관련 내용을 포함하여 의심을 최소화하고 악성코드에 감염되도록 유도합니다. 본 보고서에서는 EMOTET 악성코드를 상세 분석 하고자 합니다. 악성코드 상세 분석 1. EMOTET 악성코드..

악성코드 분석 리포트 2018. 4. 23. 08:32

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 2018년 04월 16일 경, 특정 국가지원을 받는 것으로 예상되는 공격자(State-sponsored Actor)가 MS Office 문서 파일 취약점 (CVE-2017-11882)을 활용해 한국인 대상의 스피어 피싱(Spear Phishing) 공격시도 정황을 포착했습니다. ESRC에서는 이 공격자가 '▣오퍼레이션 김수키(Kimsuky)' 캠페인과 연계된 위협 조직으로 판단하고 있습니다. 또한, 유사 변종 악성코드에서는 "전혁진", "김송철" 이라는 한글식 이름이 발견된 바 있습니다. 해당 위협그룹은 대략 2010년부터 2014년 전후로 왕성한 활동을 했습니다. 공격자는 주로 해외 등지에서 외교 및 안보기구 소속으로 활동하는 현지의 ..

악성코드 분석 리포트 2018. 4. 19. 23:16

안녕하세요? 이스트시큐리티입니다. 최근 안드로이드 악성앱이 고도화되면서 백신의 탐지를 회피하기 위한 암호화 및 안티 디버깅 기술이 적용되고 있습니다. 특히, 해당 앱은 악성행위에 사용되는 모든 문자열과 파일들을 암호화하여 저장하고 있다가 실제 사용될 때 이를 복호화 하여 사용합니다. 또한, 기기 및 개인정보의 단순한 탈취를 넘어 사용자의 기기를 완전히 장악한 후 오디오, 사용자의 입력 등 사용자의 활동을 실시간으로 감시하고 확인합니다. 본 분석 보고서에서는 “Spyware.Android.FakeApp”를 상세 분석 하고자 합니다. 악성코드 상세 분석 1) 분석 방해 및 백신 탐지회피가. 암호화 된 문자열악성행위에 사용되는 문자열들을 암호화하여 바이트 형태로 저장하고 있다가 해당 문자가 실제 사용될 때 마..

악성코드 분석 리포트 2018. 4. 18. 16:19

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 국내 이용자를 대상으로 악성 메일을 통해 클립보드에 복사된 가상화폐 지갑 주소를 공격자의 지갑 주소로 바꿔치기하는 악성코드가 유포되고 있어 주의를 당부 드립니다. 이번에 발견된 악성 메일은 '서류를 확인하다' 제목으로 첨부 파일 실행을 유도합니다. [그림 1] 악성 메일 화면 첨부파일 'Mou & Invoice Files.zip'에는 IBRD(국제부흥개발은행)의 구제금융 관련 내용이 담긴 'International Bank for Reconstructure and Development(IBRD).pdf'과 'BTC file.exe' 악성코드가 있습니다. [그림 2] 악성 메일에 첨부된 파일 만일 이용자가 호기심이나 메일 제목에 현혹되어 '..

악성코드 분석 리포트 2018. 4. 17. 13:55

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 ‘We’ll miss you: [수신자 이메일 주소] Removal request from [수신자 도메인] server accepted’ 라는 제목의 피싱 메일이 이메일 관리자를 타깃으로 국내에서 유포되고 있어 주의를 당부드립니다. 매우 고전적인 이메일 계정 피싱 수법이긴 하지만, 이번에 발견된 공격수법은 마치 이메일 웹 서버에서 관리자 권한으로 계정들을 모조리 삭제하는 것처럼 교묘하게 만들어진 특징이 있습니다. ※ 참고자료 ▶ 악성 메일로 유포되는 GandCrab 2.1 랜섬웨어 주의▶ 군비 통제 관련 기사 문서로 위장한 악성코드 주의▶ 남북 회담 관련 인터뷰 기사 문서로 위장한 악성코드 주의 ▶ '국내 포털 사이트의 계정 종료'로 위..

악성코드 분석 리포트 2018. 4. 12. 17:15

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 이스트시큐리티 대응센터에서는 오퍼레이션 아라비안나이트를 수행했던 라자루스(Lazarus) 조직이 국내외에서 다양한 작전을 수행하고 있는 것을 확인했습니다. ▶ 오퍼레이션 아라비안 나이트 공격그룹 글로벌 활동 확대 ▶ 오퍼레이션 김수키(Kimsuky)의 은밀한 활동, 한국 맞춤형 APT 공격은 현재 진행형 ▶ 한국 메신저 등을 통해 유포된 Flash Player Zero-Day (CVE-2018-4878) 공격 주의 ▶ 문서파일 취약점을 활용한 파일리스(Fileless) 악성코드의 스텔스 위협 ▶ 3.20 공격 조직의 최신 오퍼레이션 '코인 매니저 (Coin Manager)' ▶ 문서파일 취약점 공격과 한국 가상화폐 거래자 대상 공격간의 연관성 ..

악성코드 분석 리포트 2018. 4. 11. 19:09

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 악성 메일을 통해 GandCrab 2.1 버전의 랜섬웨어가 유포되고 있어 주의를 당부드립니다. ※ 관련글 보기 ▶ 실존 디자이너 명의를 사칭한 악성 메일로 GandCrab 랜섬웨어 국내 유포 주의 ▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의 ▶ 가상화폐 모네로(XMR) 채굴기능의 한국 맞춤형 표적공격 증가 ▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요 ▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의 ▶ 확장자 숨겨 악성파일 열어보게 만드는 메일 유포… 고소장, 방 예약 문의 등으로 위장해 랜섬웨어 감염 ▶ 교육 일정표 위장한 ‘한국 맞춤형’ 비너스락..

악성코드 분석 리포트 2018. 4. 10. 15:29