안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 국내에 지속적으로 사서함 업그레이드로 위장한 피싱 메일이 국내에 유포되고 있어 주의를 당부드립니다. 이번에 발견된 피싱 메일은 사서함 할당량 초과로 인하여, 사서함을 업그레이드해야 한다는 내용으로 링크 클릭을 유도합니다. [그림 1] 사서함 업그레이드를 유도하는 악성 메일 메일 본문의 '업그레이드하려면 여기를 클릭하십시오'를 클릭하게 될 경우 계정 비밀번호 입력을 유도하는 사이트로 연결합니다. [그림 2] 비밀번호 입력을 유도하는 사이트 만일 이용자가 비밀 번호를 입력하고, '지금 업그레이드' 버튼을 누를 경우 페이지에서 '기다려주십시오' 등의 문구가 보여집니다. 하지만 이는 이용자를 안심시키기 위한 것으로 보여지며, 실제로는 입력 폼에 기입한..

악성코드 분석 리포트 2018. 2. 28. 13:23

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 해외 사용자 PC에서 가상 화폐 지갑 정보와 다양한 브라우저 로그인 정보를 유출하는 악성코드가 유포되고 있어 국내 사용자의 주의를 당부 드립니다. 이 악성코드는 [그림1]과 같이 사용자 PC에 있는 가상 화폐의 종류를 확인합니다.(비트 코인을 포함한 총 9개의 가상 화폐 - 비트코인, 라이트코인, 이더리움, 모네로, 스팀 등) 이는 국내에서도 인기있는 지갑 정보와 사용자 정보 탈취를 목적으로 보여집니다. [그림1] 가상 화폐 종류 확인 코드 가상 화폐 지갑 정보 외에 사용자의 브라우저를 확인하여 시스템 상에 저장된 로그인 ID/PW 정보와 쿠키 정보도 탈취합니다. 이렇게 유출된 정보는 추후 또 다른 보안 위협에 노출될 가능성이 존재합니다...

악성코드 분석 리포트 2018. 2. 23. 17:41

안녕하세요? 이스트시큐리티입니다. 가상화폐 시세의 급등과 함께 채굴 기능이 있는 앱들이 등장하고 있습니다. 이러한 채굴 기능은 안드로이드 공식 마켓인 구글 플레이스토어의 정상 앱에서 발견되고 있으며, 해당 개발자가 정상 앱의 새로운 버전을 배포할 때 마이너를 추가하여 배포한다. 문제는 이를 사용자들에게 고지하지 않는 것입니다. 기기의 웹 브라우저를 활용한 마이너와 so 파일을 활용한 마이너가 주를 이루고 있습니다. 특히, so 파일을 활용하는 마이너는 "피닉스 코인"을 채굴하며 기기의 화면이 꺼져 있고 충전 중일 때만 채굴을 하여 사용자가 쉽게 알아차리기 어렵습니다. 본 분석 보고서에서는 so 파일을 활용한 마이너를 상세 분석 하고자 합니다. 악성코드 상세 분석 [그림 1] 정상앱 속의 채굴 해당 악성코..

악성코드 분석 리포트 2018. 2. 23. 09:00

안녕하세요? 이스트시큐리티입니다. 이번에 등장한 랜섬웨어는 ‘Hermes’ 2.0 버전으로 기존 ‘Hermes’ 랜섬웨어의 변종입니다. 랜섬웨어 특성에 따라 악성코드 제작자는 사용자의 중요 파일을 암호화한 뒤 복호화 대가로 비트코인 결제를 유도하여 금전적인 이득을 취합니다. 기존 버전에서 파일 암호화가 진행된 이후‘.hermes’확장자를 추가하던 것과 달리 별도의 확장자를 추가하지 않는 것이 특징입니다. 또한 암호화 대상 확장자에는 ‘.hwp’가 포함되어 있어 국내 사용자들의 피해가 우려됩니다. 본 분석 보고서에서는 ‘Heremes’ 2.0 랜섬웨어를 상세 분석 하고자 합니다. 악성코드 상세 분석 1) 안티 디버깅 Hermes 랜섬웨어는 정상적인 디버깅을 방해하기 위하여 프로세스 실행 시간을 이용한 안티..

악성코드 분석 리포트 2018. 2. 21. 15:28

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 지난 2013년 러시아 보안업체 카스퍼스키 랩(Kaspersky Lab)을 통해 처음 명명된 이른바 김수키(Kimsuky) 오퍼레이션은 2014년 한국의 보안업체 안랩(AhnLab) 등을 통해서도 널리 알려진 바 있습니다. 그런 가운데 김수키 작전은 2018년 현재까지도 꾸준한 활동을 유지하고 있는 것으로 확인되고 있어 각별한 주의가 요망됩니다. ▶ The “Kimsuky” Operation: A North Korean APT?▶ APT 공격 - 새로운 "Kimsuky" 악성코드 등장 약 5년이 지난 현재 김수키 계열의 보안위협은 새로운 방식으로 진화를 거듭하고 있습니다. ■ 오퍼레이션 김수키(Operation Kimsuky) 공격의 은밀한 공..

악성코드 분석 리포트 2018. 2. 12. 20:47

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 '국내 포털 사이트의 계정 확인 안내'로 위장한 피싱 메일이 국내에서 유포되고 있어 주의를 당부드립니다. 이번에 발견된 메일은 계정 종료를 방지하기 위해 계정이 유효한지 확인하기 위한 인증 링크를 클릭하라는 내용과 함께 Inv.pdf 첨부 파일을 담고 있습니다. [그림 1] 포털 사이트 계정 확인 안내 피싱 메일 본 메일에서 공격자는 본문의 'Vaildate mail Account, Neglect Shut Down' 링크, 첨부 파일 모두 동일한 사이트로 연결할 수 있도록 하였습니다. 이용자가 호기심에 첨부된 PDF 파일을 다운받아서 실행할 경우, 흐릿한 이미지를 나오면서, 선명하게 보기 위해 View 버튼 클릭을 유도합니다. View 버..

악성코드 분석 리포트 2018. 2. 7. 17:21

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2018년 02월 01일 한국의 특정 국회의원실에서 배포하는 자료로 사칭한 스피어 피싱(Spear Phishing) 공격이 발생했습니다. 주요 공격 대상자는 가상화폐 거래소를 활용하는 이용자입니다. ▶ 오퍼레이션 아라비안 나이트 공격그룹 글로벌 활동 확대 ▶ 문서파일 취약점을 활용한 파일리스(Fileless) 악성코드의 스텔스 위협 ▶ 3.20 공격 조직의 최신 오퍼레이션 '코인 매니저 (Coin Manager)' ▶ 문서파일 취약점 공격과 한국 가상화폐 거래자 대상 공격간의 연관성 분석 ▶ [주의] 가상화폐 거래 관계자를 대상으로 한 스피어피싱 지속 ▶ 비트코인 관련 내용으로 진행 중인 스피어피싱 공격 주의 발신자는 마치 국회에서 작성한 대외..

악성코드 분석 리포트 2018. 2. 5. 13:15

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2017년 중순 전후로 한국의 유명 커뮤니케이션 서비스를 이용해 다양한 맞춤형 표적공격이 등장했습니다. 이러한 방식은 일종의 소셜 네트워크 피싱(SNP:Social Network Phishing) 기법으로 분류할 수 있으며, ESRC에서는 이 위협그룹을 '금성121(Geumseong121)' 조직명으로 분류하고 있습니다. 공격대상은 주로 한국내 대북관련 분야에서 활동하는 인사들이며 공격은 매우 은밀하게 수행되었습니다. 초기에는 안드로이드 스마트폰 이용자가 주요 표적이 되었고, 안드로이드 악성앱(APK)을 유포하는데 사용되었습니다. 공격자는 이러한 공격방식을 도입해 활용하던 중 PC용 메신저 서비스 버전을 활용하는 이용자가 있다는 것을 인지..

악성코드 분석 리포트 2018. 2. 2. 10:58