안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 한국식 표현이 포함된 ‘카카오톡 위장 랜섬웨어 변종’이 발견되어 주의가 필요합니다. [그림 1] 2018년 변종 KOREAN 랜섬웨어 새롭게 발견된 카카오톡 위장 랜섬웨어는 지난 2016년 8월 20일경 발견된 KOREAN 랜섬웨어와 비교했을 때 폰트, 이미지 등을 제외한 대부분의 특성이 흡사한 것으로 나타났습니다. [그림 2] 2016년 발견된 KOREAN 랜섬웨어] Hidden-Tear 오픈 소스 기반으로 제작된 이 랜섬웨어는 바탕 화면 경로에 있는 파일들 중 아래에 해당하는 확장자만 AES 알고리즘을 이용하여 “[기존파일명][기존확장자명].암호화됨” 으로 암호화를 진행한 뒤 1 비트코인을 요구 합니다. (한화 13,500,000 원) ”..

악성코드 분석 리포트 2018. 1. 23. 11:01

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 작년부터 Venus Locker 랜섬웨어를 유포한 공격자가 최근에는 ‘저작권법 위반되는 그림을 이용 중이십니다.(제작자 무동의)’ 라는 제목으로 이메일을 유포하고 있습니다. 이 공격자들은 기존에도 ‘교육 일정표’ 확인, 쇼핑몰에서 유출된 ‘고객 개인 정보 리스트’, ‘해외 배송 관련 안내’, ‘eFINE 교통범칙금 인터넷 납부’ 등 사용자들이 현혹할 만한 제목으로 위장하였고, 이번에는 ‘저작권법 위반’으로 모네로(Monero) 가상 화폐 채굴 기능을 포함하여 유포 중입니다. ▶ 가상화폐 모네로(XMR) 채굴기능의 한국 맞춤형 표적공격 증가 ▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요 ▶ 확장자 숨겨 악성파일 열어보게..

악성코드 분석 리포트 2018. 1. 18. 16:06

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2016년 12월 부터 한국에 다수 유포된 '비너스 락커(Venus Locker)' 랜섬웨어 공격자는 2017년 11월 말부터 가상화폐 모네로(Monero/XMR) 채굴 기능의 악성 파일을 지속적으로 유포하고 있습니다. ▶ [주의] 가상화폐 채굴 공격으로 귀환한 비너스락커 랜섬웨어 제작자 ▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요 ▶ 확장자 숨겨 악성파일 열어보게 만드는 메일 유포… 고소장, 방 예약 문의 등으로 위장해 랜섬웨어 감염 ▶ 교육 일정표 위장한 ‘한국 맞춤형’ 비너스락커 랜섬웨어 변종 국내 유포 중! ▶ ‘이젠 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 랜섬웨어 피해 확산 중 ▶ 쇼핑몰에서 유출..

악성코드 분석 리포트 2018. 1. 15. 16:48

이스트시큐리티에서는 인텔 취약점 (Meltdown&Spectre)에 대해 1차분석을 진행한 적이 있었습니다. (▶ 인텔 CPU 취약점(Meltdown&Spectre) 분석 및 이스트시큐리티 대응상황) 하지만, 취약점에 대한 난이도나 그 위험도가 높은만큼, 인텔 취약점 (Meltdown&Spectre)에 대해 상세분석을 진행하였습니다. 개요 이번에 공개 된 Meltdown & Spectre 관련 취약점은 아래 3개입니다. Variant 1: bounds check bypass (CVE-2017-5753)Variant 2: branch target injection (CVE-2017-5715)Variant 3: rogue data cache load (CVE-2017-5754) Variant 1, 2는 Sp..

악성코드 분석 리포트 2018. 1. 10. 16:34

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2018년 01월 08일 새벽 시간대 금융관련 내용으로 스피어피싱(Spear Phishing) 표적공격이 진행되었습니다. ▶ 문서파일 취약점을 활용한 파일리스(Fileless) 악성코드의 스텔스 위협 ▶ 사망한 아이돌 가수 마지막 영상과 유서로 위장한 악성 프로그램 등장 ▶ 문서파일 취약점 공격과 한국 가상화폐 거래자 대상 공격간의 연관성 분석 ▶ 연말 채용 구인 공고 내용으로 위장한 가상화폐 채굴 감염 공격 주의 ▶ [주의] 가상화폐 채굴 공격으로 귀환한 비너스락커 랜섬웨어 제작자 공격자는 한메일 서비스를 이용했으며, '바젤3 관련자료' 등으로 위장한 이메일 제목을 사용했습니다. ※ (참고사항) 바젤3 란? 바젤3(Basel 3)이란 스위스 ..

악성코드 분석 리포트 2018. 1. 8. 15:41

인텔 CPU 취약점(Meltdown&Spectre) 분석 및 이스트시큐리티 대응상황 2018년 1월 4일, Jann Horn 등 보안연구원들은 ”Meltdown”(CVE-2017-5754)과 ”Spectre”(CVE-2017-5753 & CVE-2017-5715) 라고 명명된 2개의 CPU 취약점을 공개하였습니다. 해당 취약점들을 악용하면 공격자들이 사용자의 정보들을 유출시킬 수 있으므로 패치등의 조치를 취하시는 것이 안전합니다. 이스트시큐리티에서는 관련 취약점에 대한 분석을 진행중이며, 1차적으로 현재까지 확인된 내용을 공유드립니다. 추가 분석이 완료되는대로 추가포스팅을 올리거나 현재 글에 내용을 업데이트 할 예정입니다. 1월 10일 이스트시큐리티에서 상세분석한 내용을 별도포스팅으로 새로 업로드하였습니..

악성코드 분석 리포트 2018. 1. 5. 19:20

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 며칠 전 국내 특정 기관에서 공지한 '북한 2018년 신년사 분석' 내용으로 사칭한 HWP 취약점 기반 악성파일이 발견되었습니다. 수년 전부터 유사한 형태의 스피어 피싱(Spear Phishing) 추정 공격이 지속적으로 발견되고 있으므로, 이용자분들의 각별한 주의가 요망됩니다. [그림 1] 북한 2018년 신년사 분석으로 위장한 악성파일 실행 화면 해당 문서파일 포맷 내부에는 밀봉형 포스트스크립트(Encapsulated PostScript)인 'BIN0004.eps' 데이터가 포함되어 있습니다. 기본적으로 HWP 문서파일은 zlib 공개 압축 라이브러리를 사용하고 있는데, 압축된 부분을 해제하면 아래 비교화면과 같이 내부의 코드를 확인할 수 ..

악성코드 분석 리포트 2018. 1. 4. 17:09

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 한국 포털(사) 이메일 계정을 사용하는 불특정다수를 대상으로 다량의 악성 프로그램이 전파되고 있어 각별한 주의가 필요합니다. 공격자는 초기에 구글 지메일을 이용했지만, 근래에는 한메일을 이용하고 있습니다. 지난 주에는 주로 특정인의 노출 사진인 것처럼 위장해 이용자들을 현혹시켰습니다. 그런 가운데 최근 사망한 한국의 유명 아이돌 가수의 마지막 영상 유출 내용으로 악성파일을 유포하고 있습니다. 특히, 수백명에 가까운 이메일 주소를 몰래 삽입에 동시다발적으로 유포를 수행하고 있는 상태입니다. [그림 1] 악성 프로그램을 유포한 화면과 공격자 이메일 정보 이메일을 발송한 계정을 조사해 보면 실제 '꽃사슴' 필명으로 블로그가 존재하며, 주로 해외..

악성코드 분석 리포트 2017. 12. 22. 15:31