안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 국내 이용자를 대상으로 악성 메일을 통해 클립보드에 복사된 가상화폐 지갑 주소를 공격자의 지갑 주소로 바꿔치기하는 악성코드가 유포되고 있어 주의를 당부 드립니다. 이번에 발견된 악성 메일은 '서류를 확인하다' 제목으로 첨부 파일 실행을 유도합니다. [그림 1] 악성 메일 화면 첨부파일 'Mou & Invoice Files.zip'에는 IBRD(국제부흥개발은행)의 구제금융 관련 내용이 담긴 'International Bank for Reconstructure and Development(IBRD).pdf'과 'BTC file.exe' 악성코드가 있습니다. [그림 2] 악성 메일에 첨부된 파일 만일 이용자가 호기심이나 메일 제목에 현혹되어 '..

악성코드 분석 리포트 2018. 4. 17. 13:55

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 ‘We’ll miss you: [수신자 이메일 주소] Removal request from [수신자 도메인] server accepted’ 라는 제목의 피싱 메일이 이메일 관리자를 타깃으로 국내에서 유포되고 있어 주의를 당부드립니다. 매우 고전적인 이메일 계정 피싱 수법이긴 하지만, 이번에 발견된 공격수법은 마치 이메일 웹 서버에서 관리자 권한으로 계정들을 모조리 삭제하는 것처럼 교묘하게 만들어진 특징이 있습니다. ※ 참고자료 ▶ 악성 메일로 유포되는 GandCrab 2.1 랜섬웨어 주의▶ 군비 통제 관련 기사 문서로 위장한 악성코드 주의▶ 남북 회담 관련 인터뷰 기사 문서로 위장한 악성코드 주의 ▶ '국내 포털 사이트의 계정 종료'로 위..

악성코드 분석 리포트 2018. 4. 12. 17:15

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 이스트시큐리티 대응센터에서는 오퍼레이션 아라비안나이트를 수행했던 라자루스(Lazarus) 조직이 국내외에서 다양한 작전을 수행하고 있는 것을 확인했습니다. ▶ 오퍼레이션 아라비안 나이트 공격그룹 글로벌 활동 확대 ▶ 오퍼레이션 김수키(Kimsuky)의 은밀한 활동, 한국 맞춤형 APT 공격은 현재 진행형 ▶ 한국 메신저 등을 통해 유포된 Flash Player Zero-Day (CVE-2018-4878) 공격 주의 ▶ 문서파일 취약점을 활용한 파일리스(Fileless) 악성코드의 스텔스 위협 ▶ 3.20 공격 조직의 최신 오퍼레이션 '코인 매니저 (Coin Manager)' ▶ 문서파일 취약점 공격과 한국 가상화폐 거래자 대상 공격간의 연관성 ..

악성코드 분석 리포트 2018. 4. 11. 19:09

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 악성 메일을 통해 GandCrab 2.1 버전의 랜섬웨어가 유포되고 있어 주의를 당부드립니다. ※ 관련글 보기 ▶ 실존 디자이너 명의를 사칭한 악성 메일로 GandCrab 랜섬웨어 국내 유포 주의 ▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의 ▶ 가상화폐 모네로(XMR) 채굴기능의 한국 맞춤형 표적공격 증가 ▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요 ▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의 ▶ 확장자 숨겨 악성파일 열어보게 만드는 메일 유포… 고소장, 방 예약 문의 등으로 위장해 랜섬웨어 감염 ▶ 교육 일정표 위장한 ‘한국 맞춤형’ 비너스락..

악성코드 분석 리포트 2018. 4. 10. 15:29

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 '군비 통제 관련 기사 문서'로 위장한 악성코드가 발견되어 이용자들의 주의를 당부드립니다. ※ 참고글 보기 ▶ 남북 회담 관련 인터뷰 기사 문서로 위장한 악성코드 주의 이번 악성코드에서는 지난 '남북 회담 인터뷰 기사 문서'에 쓰인 것과 동일한 코드가 사용되었으며, 드롭퍼로서 'C:\Users\(사용자 계정)\AppData\Local\MFAData\event\' 경로에 'errors.dll' 악성 파일을 드롭합니다. [그림 1] 파일 드롭 코드 또한 지난 번과 마찬가지로 감염된 사실을 숨기기 위해, 군비 통제 관련 기사 내용이 담긴 문서를 드롭한 뒤, 실행합니다. [그림 2] 군비 통제 내용이 담긴 기사 문서 내용 이용자에게 보여주는 문서..

악성코드 분석 리포트 2018. 4. 9. 11:28

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 '동맹과 비핵화를 주제로 한 남북 회담 관련 인터뷰 기사 문서'로 위장한 악성코드가 발견되어 주의를 당부드립니다. 이번에 발견된 악성코드를 실행하면 인터뷰 기사가 작성된 정상 문서를 보여줍니다. 하지만 드롭퍼로서, 'C:\Users\(사용자 계정)\AppData\Local\MFAData\event\' 경로에 'errors.dll' 악성 파일을 자가 복제 및 실행합니다. 또한 윈도우 부팅 시 자동 실행을 위해 자동 실행 레지스트리에 등록합니다. 추후 본 악성코드는 자가 삭제됩니다. [그림 1] 남북 회담 관련 인터뷰 기사 내용이 담긴 문서 [그림 2] 자가 복제 및 자동 실행 레지스트리 등록 코드 드롭퍼에서 실행되는 'errors.dll'은..

악성코드 분석 리포트 2018. 4. 4. 16:32

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 최근 ‘귀하의 Daum 계정은 종료 됨’으로 위장한 피싱 메일이 국내에서 유포되고 있어 사용자들의 주의를 당부드립니다. 이번에 발견된 메일은 계정을 계속 사용하기 위해서는 ‘Upgrade account now’를 클릭하여 업데이트를 하라는 내용을 담고 있습니다. [그림 1] 포털 사이트 계정 종료 안내 피싱 메일 사용자가 버튼을 클릭하였을 경우 아래 사이트로 연결합니다. 하지만 현재는 해당 사이트 호스팅 업체에 의해 차단된 상태여서 정상적으로 접속되지 않습니다. URL : http://j841377.myjino.ru/daaum/index.phpIP : 81.177.140.202 (RU) [그림 2] 피싱 사이트 접속 화면 하지만 동일한 공격자..

악성코드 분석 리포트 2018. 4. 2. 16:45

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. WhatsApp 아이콘으로 위장한 악성 파일이 유포되고 있어 사용자들의 주의를 당부 드립니다. [그림 1] WhatsApp 위장 아이콘 지속적으로 다양한 변종이 발견된 해당 랜섬웨어의 이전 버전에서는 파일을 실행하면 아래와 같은 화면을 띄우 고 ‘Click here 7 day free trial’ 버튼만 활성화 한 후 사용자의 클릭을 유도 했습니다. [그림 2] 이전 버전의 사용자 클릭 유도 화면 하지만 최근 발견된 해당 악성 코드는 사용자가 파일을 실행하면 즉시 파일 암호화를 진행합니다. 암호화 대상 경로와 확장자는 아래와 같습니다. [그림 3] 암호화 대상 경로 .wmv, .mp3, .mp4, .ini, .jpg, .png, .xls, ...

악성코드 분석 리포트 2018. 3. 29. 15:06