안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근, 국내 시중 은행의 이름을 도용한 PDF 첨부파일 이미지가 포함된 계정 탈취 목적의 악성 메일이 특정 기업에서 발송한 것처럼 사칭해 국내에 유포되고 있어 주의를 당부드립니다. 이번 메일은 '송장 지급 유월 2018 KRW12,450,804' 제목으로 상품 운송장인 것처럼 위장하였습니다. 이번 이메일에서는 제목에 '6월' 대신 한글 '유월'로 적어 한국인이 보낸 것처럼 보이려고 한 점이 특징입니다. [그림 1] 상품 운송장으로 위장한 악성 메일 메일에 첨부 파일은 존재하지 않지만, '첨부 파일 다운로드'로 위장한 이미지로 피싱 사이트 접속을 유도합니다. 다음은 피싱 사이트 접속을 유도하는 이미지 화면입니다. [그림 2] '첨부 파일 다운로드..

악성코드 분석 리포트 2018. 6. 15. 09:31

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 국내에 피고 소환장 통지서로 사칭한 악성 이메일을 통해 GandCrab 랜섬웨어가 유포되고 있어 긴급히 주의를 당부드립니다. ※ 관련글 보기 ▶ 국내 대학 대상으로 갠드크랩 랜섬웨어 유포 중 ▶ 입사지원서로 위장하여 유포되는 GandCrab 랜섬웨어 주의 ▶ 악성 메일로 유포되는 GandCrab 2.1 랜섬웨어 주의 ▶ 실존 디자이너 명의를 사칭한 악성 메일로 GandCrab 랜섬웨어 국내 유포 주의 ▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의 ▶ 가상화폐 모네로(XMR) 채굴기능의 한국 맞춤형 표적공격 증가 ▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요 ▶ '저작권 위반 그림 사용 ..

악성코드 분석 리포트 2018. 6. 4. 19:05

■ 대북 분야 표적의 APT 공격 '물탱크 작전(Operation Water Tank)' 배경 안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 2018년 04월부터 05월까지 한국의 외교·안보·통일 분야의 연구를 수행하는 싱크탱크(Think Tank) 기관 및 대북단체, 군 관련 웹 사이트를 상대로 한 은밀한 워터링 홀(Watering Hole) 공격이 수행되었습니다. ※ 싱크탱크(Think Tank) 고유 전문 분야의 조사·분석·연구를 조직적으로 결집해 수행하고, 그로 인한 개발성과를 제공하는 것에 목적을 가진 연구집단을 의미하며, 주로 국가의 정책이나 기업의 경영전략을 연구한다. ※ 워터링 홀(Watering Hole) 공격 육식동물인 사..

악성코드 분석 리포트 2018. 5. 31. 11:16

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 지속적으로 HTML 피싱 파일이 첨부된 악성 메일이 국내에 유포되고 있어 주의를 당부드립니다. ※ 관련글 보기 ▶ HTML 피싱 파일이 첨부된 악성 메일 주의 이번에 발견된 메일은 첨부 파일을 있는 제품 품목의 견적을 확인하고 통보를 해달라는 내용을 담고 있습니다. 특히나 이번 메일에서는 '귀사의 일익 번창함을 기원합니다'와 같은 문구를 사용하여 정상적으로 보낸 의뢰서로 위장하고 있습니다. [그림 1] 견적 의뢰서 위장 메일 첨부파일 'june order (2).zip'에는 'june order.html' HTML 피싱 파일이 있습니다. 사용자가 실제 제품 견적 의뢰서인 것으로 착각하여 html 파일을 실행할 경우 국내 포탈 사이트의 로그인 화..

악성코드 분석 리포트 2018. 5. 30. 17:32

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 국내 대학을 대상으로 갠드크랩 랜섬웨어를 다운로드 할 수 있는 악성 메일이 발송되고 있어 주의를 당부드립니다. ▶ Trojan.Ransom.GandCrab 악성코드 분석 보고서 ▶ 한국어를 구사하는 랜섬웨어 유포자, 이젠 매크로 기반으로 갠드크랩 유포 중 ▶ 갠드크랩(GandCrab) 랜섬웨어 CVE-2017-8570 취약점으로 유포 중 ▶ 유명 취업사이트 채용공고 지원문의로 위장된 랜섬웨어 피해 속출 ▶ 실존 디자이너 명의를 사칭한 악성 메일로 GandCrab 랜섬웨어 국내 유포 주의 ▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의 이번에 발견된 메일은 ‘Greetings to you an extract !..

악성코드 분석 리포트 2018. 5. 29. 10:15

■ 오퍼레이션 김수키의 최신 APT 공격, '작전명 원제로(Operation Onezero)' 배경 안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 저희는 지난 02월, 작전명 김수키(Operation Kimsuky)의 활동이 은밀하게 계속되고 있으며, 한국을 대상으로 한 APT(지능형지속위협) 공격이 활성화되어 있음을 알려드린 바 있습니다. ESRC에서는 정부차원의 후원을 받는 공격자(State-sponsored Actor)가 2018년 05월에 수행한 최신 표적형 APT 사례를 확보해 분석하였고, 흥미롭게도 김수키 작전에 사용된 '위협 벡터'(공격자가 침해대상에 사용한 접근수단)와 오버랩된다는 점을 발견했습니다. 해당 위협그룹과 개발코드가..

악성코드 분석 리포트 2018. 5. 28. 21:24

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 상품 배송 관련 내용으로 위장한 악성 메일들이 국내에서 지속적으로 발견되고 있어 주의를 당부드립니다. 이번에 발견된 메일들은 'DHL BILL OF LADING SHIPPING INVOICE DOCUMENTS'과 'Dhl shipment alert' 제목을 가지고 있습니다. 다음은 각 메일에 대한 분석 정보입니다. 1. DHL BILL OF LADING SHIPPING INVOICE DOCUMENTS 메일 본 메일은 'DHL BILL OF LADING SHIPPING INVOICE DOCUMENTS' 제목을 통해 선적 통지서로 위장하고 있으며, 예약된 배송물의 배송 추적 및 배송물의 자세한 정보 열람 내용으로 첨부 파일 실행을 유도합니다...

악성코드 분석 리포트 2018. 5. 25. 10:33

안녕하세요? 이스트시큐리티입니다. DNS 하이재킹을 이용한 안드로이드 악성 앱이 등장하였습니다. DNS 하이재킹은 라우터를 공격하여 사용자가 정상 사이트 접속 시 악성 사이트로 리다이렉트 되도록 합니다. 이후 페이스북, 크롬 등 유명한 앱으로 위장한 악성 앱을 사용자가 설치하도록 유도합니다. 사용자의 통화 내용을 녹음하고 설치된 은행 앱, 게임 앱 등과 관련된 정보들을 탈취합니다. 특히, C&C서버의 주소를 감추기 위해서 중국 사이트 파싱을 통해 주소를 수신하고 10개 이상의 원격 명령을 통해서 사용자의 기기를 실시간 제어합니다. 본 분석 보고서에서는 “Roaming Mantis”를 상세 분석하고자 합니다. 악성코드 상세 분석 1) 악성 행위 유지를 위한 장치가. 아이콘 숨김지속적인 악성 행위를 위하여 ..

악성코드 분석 리포트 2018. 5. 24. 17:00