안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2017년 동안 한국의 특정 가상화폐 거래소를 대상으로 활동했던 이른바 정부 차원의 후원을 받는 것으로 추정되는 공격자(state-sponsored actor)가 2018년에는 글로벌을 상대로 공격을 시도하는 정황이 다수 포착되고 있습니다. 한국에서는 HWP 문서파일 취약점을 악용한 스피어피싱이 주로 활용된 반면, 해외는 DOC 문서 등의 매크로 기능을 활용하는 특징이 있고, 내부 코드를 숨기는데 나름의 노력을 기울이고 있다는 것이 특징입니다. 이들의 사이버 위협 활동은 지속적으로 진행되고 있는데, 얼마 전 알약 블로그를 통해 포스팅됐던 [3.20 공격 조직의 최신 오퍼레이션 '코인 매니저 (Coin Manager)'] 내용의 연장선이라 할 수..

악성코드 분석 리포트 2018. 1. 31. 20:46

안녕하세요? 이스트시큐리티입니다. 전세계적으로 가상 화폐가 열풍인 가운데, 가상 화폐를 채굴하는 악성코드가 지속적으로 확인되고 있습니다. 특히 이번에 발견된 악성코드는 ‘모네로(XMR)’ 가상 화폐를 채굴하는 악성코드로, 자신의 활동을 숨기기 위해 프레임워크를 가지고 있는 점이 특징입니다. 따라서 본 보고서에서는 ‘Misc.Riskware.BitCoinMiner’ 악성코드의 상세 분석 내용을 다루고자 합니다. 이번 악성코드는 국내에서 불특정 다수를 대상으로 한 악성 메일에서 유포된 것으로 확인되었습니다. 악성 메일에 첨부된 바로가기 파일(.lnk)의 대상 값을 통하여 모네로 채굴기인 dog.exe 악성코드가 실행되도록 유도합니다. 다음은 바로가기 파일의 속성 정보입니다. [그림 1] 모네로 채굴 악성코드..

악성코드 분석 리포트 2018. 1. 29. 10:17

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 작년부터 활발한 활동을 하고있는 Venus Locker 랜섬웨어를 유포한 공격자들이 이번에는 이메일에 DOC 문서를 첨부하고 Exploit을 이용하여 유포하는 움직임이 포착되었습니다. 이번에 사용된 이메일 주소(ohyeonsoo0613@gmail.com)는 '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 유포에 사용된 메일 주소와 동일합니다. 이 공격자들은 기존에도 다양한 방식으로 랜섬웨어와 모네로 가상 화폐 채굴 기능기를 유포한 조직입니다. ▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의 ▶ 가상화폐 모네로(XMR) 채굴기능의 한국 맞춤형 표적공격 증가 ▶ 국가 기관 및 기업 대상으로 랜섬..

악성코드 분석 리포트 2018. 1. 24. 16:55

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 한국식 표현이 포함된 ‘카카오톡 위장 랜섬웨어 변종’이 발견되어 주의가 필요합니다. [그림 1] 2018년 변종 KOREAN 랜섬웨어 새롭게 발견된 카카오톡 위장 랜섬웨어는 지난 2016년 8월 20일경 발견된 KOREAN 랜섬웨어와 비교했을 때 폰트, 이미지 등을 제외한 대부분의 특성이 흡사한 것으로 나타났습니다. [그림 2] 2016년 발견된 KOREAN 랜섬웨어] Hidden-Tear 오픈 소스 기반으로 제작된 이 랜섬웨어는 바탕 화면 경로에 있는 파일들 중 아래에 해당하는 확장자만 AES 알고리즘을 이용하여 “[기존파일명][기존확장자명].암호화됨” 으로 암호화를 진행한 뒤 1 비트코인을 요구 합니다. (한화 13,500,000 원) ”..

악성코드 분석 리포트 2018. 1. 23. 11:01

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 작년부터 Venus Locker 랜섬웨어를 유포한 공격자가 최근에는 ‘저작권법 위반되는 그림을 이용 중이십니다.(제작자 무동의)’ 라는 제목으로 이메일을 유포하고 있습니다. 이 공격자들은 기존에도 ‘교육 일정표’ 확인, 쇼핑몰에서 유출된 ‘고객 개인 정보 리스트’, ‘해외 배송 관련 안내’, ‘eFINE 교통범칙금 인터넷 납부’ 등 사용자들이 현혹할 만한 제목으로 위장하였고, 이번에는 ‘저작권법 위반’으로 모네로(Monero) 가상 화폐 채굴 기능을 포함하여 유포 중입니다. ▶ 가상화폐 모네로(XMR) 채굴기능의 한국 맞춤형 표적공격 증가 ▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요 ▶ 확장자 숨겨 악성파일 열어보게..

악성코드 분석 리포트 2018. 1. 18. 16:06

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2016년 12월 부터 한국에 다수 유포된 '비너스 락커(Venus Locker)' 랜섬웨어 공격자는 2017년 11월 말부터 가상화폐 모네로(Monero/XMR) 채굴 기능의 악성 파일을 지속적으로 유포하고 있습니다. ▶ [주의] 가상화폐 채굴 공격으로 귀환한 비너스락커 랜섬웨어 제작자 ▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요 ▶ 확장자 숨겨 악성파일 열어보게 만드는 메일 유포… 고소장, 방 예약 문의 등으로 위장해 랜섬웨어 감염 ▶ 교육 일정표 위장한 ‘한국 맞춤형’ 비너스락커 랜섬웨어 변종 국내 유포 중! ▶ ‘이젠 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 랜섬웨어 피해 확산 중 ▶ 쇼핑몰에서 유출..

악성코드 분석 리포트 2018. 1. 15. 16:48

이스트시큐리티에서는 인텔 취약점 (Meltdown&Spectre)에 대해 1차분석을 진행한 적이 있었습니다. (▶ 인텔 CPU 취약점(Meltdown&Spectre) 분석 및 이스트시큐리티 대응상황) 하지만, 취약점에 대한 난이도나 그 위험도가 높은만큼, 인텔 취약점 (Meltdown&Spectre)에 대해 상세분석을 진행하였습니다. 개요 이번에 공개 된 Meltdown & Spectre 관련 취약점은 아래 3개입니다. Variant 1: bounds check bypass (CVE-2017-5753)Variant 2: branch target injection (CVE-2017-5715)Variant 3: rogue data cache load (CVE-2017-5754) Variant 1, 2는 Sp..

악성코드 분석 리포트 2018. 1. 10. 16:34

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2018년 01월 08일 새벽 시간대 금융관련 내용으로 스피어피싱(Spear Phishing) 표적공격이 진행되었습니다. ▶ 문서파일 취약점을 활용한 파일리스(Fileless) 악성코드의 스텔스 위협 ▶ 사망한 아이돌 가수 마지막 영상과 유서로 위장한 악성 프로그램 등장 ▶ 문서파일 취약점 공격과 한국 가상화폐 거래자 대상 공격간의 연관성 분석 ▶ 연말 채용 구인 공고 내용으로 위장한 가상화폐 채굴 감염 공격 주의 ▶ [주의] 가상화폐 채굴 공격으로 귀환한 비너스락커 랜섬웨어 제작자 공격자는 한메일 서비스를 이용했으며, '바젤3 관련자료' 등으로 위장한 이메일 제목을 사용했습니다. ※ (참고사항) 바젤3 란? 바젤3(Basel 3)이란 스위스 ..

악성코드 분석 리포트 2018. 1. 8. 15:41