안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 작년 12월 말부터 한국의 여러 기관과 기업을 상대로 비너스락커(Venus Locker)와 오토크립터(Auto Cryptor) 랜섬웨어를 유포했던 공격자가 최근들어 또 다시 한국 맞춤형 스피어 피싱(Spear Phishing) 공격을 수행하고 있습니다. 이번 공격에는 기존 랜섬웨어 유포 방식이 아닌 가상화폐 채굴(마이닝) 기능을 가진 악성파일을 배포하고 있습니다. ▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요 ▶ 확장자 숨겨 악성파일 열어보게 만드는 메일 유포… 고소장, 방 예약 문의 등으로 위장해 랜섬웨어 감염 ▶ 교육 일정표 위장한 ‘한국 맞춤형’ 비너스락커 랜섬웨어 변종 국내 유포 중! ▶ ‘이젠 유명 단체 사칭..

악성코드 분석 리포트 2017. 12. 5. 13:39

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 지난 달에도 비슷한 유형을 주의차원에서 안내해 드렸던 적이 있었습니다만, 12월 03일부터 동일한 공격자로 추정되는 인물이 불특정 다수를 대상으로 새로운 악성파일을 토렌트로 유포시키고 있어 각별한 주의가 필요합니다. 공격자는 마치 한국의 최신 문서작성 소프트웨어의 무설치 인증판으로 위장해 Orcus RAT 원격제어 기능의 악성파일을 설치하고 있습니다. ▶ 토렌트로 불법 문서 작성 소프트웨어 설치 시 좀비 PC 위험성 증가 지난 번에는 실제로 판매하지 않는 '한글 2017'이라는 제품명을 썼지만, 이번엔 실제 판매 중인 최신 제품 '한글 2018' 이름을 도용하면서, 현재 토렌트 인기자료 1~2 순위에 오를 정도로 많은 이용자들이 다운로드하고 있..

악성코드 분석 리포트 2017. 12. 5. 10:04

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 비트코인 등을 거래할 수 있는 특정 암호화폐 거래소 관계자를 대상으로 한 다양한 사이버범죄 시도가 꾸준히 발견되고 있습니다. ▶ 국내 비트코인 거래소 출금알림 이메일로 사칭한 피싱사기 주의보 ▶ 비트코인 관련 내용으로 진행 중인 스피어피싱 공격 주의 ▶ 문서파일 취약점 공격과 한국 가상화폐 거래자 대상 공격간의 연관성 분석 이런 가운데 마치 정상적인 채용관련 문의와 입사 지원을 사칭한 스피어 피싱(Spear Phishing) 공격이 추가로 발견되고 있어 관계자 분들의 각별한 주의를 당부드립니다. [그림 1] 입사 지원서 메일로 위장한 스피어 피싱 공격 화면 공격자는 한메일 서비스를 이용하였으며, 수신자 역시 한메일을 쓰는 이용자 입니다. 수신자..

악성코드 분석 리포트 2017. 12. 4. 10:13

안녕하세요. 이스트시큐리티입니다. 한국을 집중 공격하는 신종 랜섬웨어 ‘Trojan.Ransom.MyRansom’(이하 마이랜섬 랜섬웨어)가 등장하였습니다. 케르베르(Cerber) 랜섬웨어의 변형으로 매그니튜드 익스플로잇 킷을 통해 광고 사이트에 악성코드를 심어 유포하는 멀버타이징 방식을 사용합니다. 두 단어를 합쳐 매그니베르(Magniber) 라고도 불립니다. 한국어 윈도우 운영체제 환경에서만 파일 암호화를 진행하는 특징이 있으며 암호화되는 파일의 확장자는 ‘hwp’ 문서를 비롯해 800개 이상입니다. 본 분석 보고서에서는 MyRansom 랜섬웨어를 상세 분석 하고자 합니다. 악성코드 상세 분석 40a5312f203f48759cbc1c08f91c499a 분석 1) 시스템 언어 확인시스템 언어 환경이 한..

악성코드 분석 리포트 2017. 11. 24. 09:00

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 국내 특정 기업 관계자를 대상으로 한 계정 탈취 목적의 피싱 메일이 유포되어 관계자의 주의를 당부드립니다. 이번에 발견된 피싱 메일은 '사용하고 있는 이메일 계정이 HTC Desire 626s 안드로이드 스마트폰 기기에서 로그인되었으니 비밀번호를 변경하라는 내용'을 담고 있습니다. [그림 1] 비밀번호 변경을 유도하는 피싱 메일 만약 수신자가 자신의 이메일 계정에 타인이 무단으로 접속하였다고 인식해 'Change password' 버튼을 클릭할 경우 새로운 비밀번호를 입력하도록 유도하는 피싱 사이트에 연결됩니다. [그림 2] 새로운 비밀번호 입력을 유도하는 피싱 사이트 만일 이용자가 입력폼에 비밀번호를 모두 기입하고 'Login to co..

악성코드 분석 리포트 2017. 11. 20. 13:23

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2017년 11월 13일 부터 일부 파일 공유 사이트(토렌트)를 통해 '[한글]2017 HWP2017', HWP2017 한글 2017' 등의 제목으로 마치 한글과컴퓨터(이하 한컴)사의 최신 문서 작성 소프트웨어처럼 위장한 악성프로그램이 불특정 다수에게 전파 되어 각별한 주의가 필요합니다. 실제 해당 소프트웨어를 개발해 판매하고 있는 한컴을 통해 확인한 결과, '한글 2017'은 존재하지 않는 제품이며, NEO 또는 2018이 정식 제품군입니다. 토렌트를 통해 배포될 경우 감염 대상자들은 주로 상용 소프트웨어를 검색 후 불법 다운로드 받아 사용하는 계층이 포함되며, 기존에 널리 알려지지 않았던 새로운 버전으로 착각해 쉽게 현혹될 수 있습니다. 우..

악성코드 분석 리포트 2017. 11. 16. 21:08

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2017년 11월 06일 한국에서 제작된 것으로 추정되는 새로운 랜섬웨어가 등장했습니다. 제작자는 해외에서 공개된 오픈소스 기반의 '히든 티어(Hidden Tear)' 랜섬웨어 소스를 활용했습니다. 랜섬웨어는 PDF 문서파일 아이콘으로 위장하고 있으며, 제작자는 'BlackListCP' 라는 이름으로 명명하였습니다. [그림 1] 랜섬웨어 속성 화면 랜섬웨어가 작동하면 하기의 약 158종의 확장자를 대상으로 암호화 작업을 진행합니다. ".3dm", ".3g2", ".3gp", ".aaf", ".accdb", ".aep", ".aepx", ".aet", ".ai", ".aif", ".arw", ".as", ".as3", ".asf", ".asp",..

악성코드 분석 리포트 2017. 11. 13. 10:58

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 세계적으로 Locky 랜섬웨어 유포 방식에 새로운 변화가 생기고 있습니다. 기존에는 주로 MS Word 'DOC' 파일의 매크로(Macro) 기능이나 'JS', 'JSE', 'Java', 'VBS' 등의 스크립트를 이메일에 첨부해 감염을 유도하는 기법을 사용했습니다. 그런데 최근 한달 사이에 MS Word의 매크로 기능이 아닌 DDE(Dynamic Data Exchange) 프로토콜을 활용해 대대적인 공격을 시작했습니다. DDE 프로토콜은 윈도우 운영체제에서 응용프로그램 간 데이터 전송을 위해 사용하는 프로토콜 입니다. [참고자료] https://msdn.microsoft.com/en-us/library/windows/desktop/ms6..

악성코드 분석 리포트 2017. 10. 31. 15:05