안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2016년 12월 부터 한국에 다수 유포된 '비너스 락커(Venus Locker)' 랜섬웨어 공격자는 2017년 11월 말부터 가상화폐 모네로(Monero/XMR) 채굴 기능의 악성 파일을 지속적으로 유포하고 있습니다. ▶ [주의] 가상화폐 채굴 공격으로 귀환한 비너스락커 랜섬웨어 제작자 ▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요 ▶ 확장자 숨겨 악성파일 열어보게 만드는 메일 유포… 고소장, 방 예약 문의 등으로 위장해 랜섬웨어 감염 ▶ 교육 일정표 위장한 ‘한국 맞춤형’ 비너스락커 랜섬웨어 변종 국내 유포 중! ▶ ‘이젠 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 랜섬웨어 피해 확산 중 ▶ 쇼핑몰에서 유출..

악성코드 분석 리포트 2018. 1. 15. 16:48

이스트시큐리티에서는 인텔 취약점 (Meltdown&Spectre)에 대해 1차분석을 진행한 적이 있었습니다. (▶ 인텔 CPU 취약점(Meltdown&Spectre) 분석 및 이스트시큐리티 대응상황) 하지만, 취약점에 대한 난이도나 그 위험도가 높은만큼, 인텔 취약점 (Meltdown&Spectre)에 대해 상세분석을 진행하였습니다. 개요 이번에 공개 된 Meltdown & Spectre 관련 취약점은 아래 3개입니다. Variant 1: bounds check bypass (CVE-2017-5753)Variant 2: branch target injection (CVE-2017-5715)Variant 3: rogue data cache load (CVE-2017-5754) Variant 1, 2는 Sp..

악성코드 분석 리포트 2018. 1. 10. 16:34

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2018년 01월 08일 새벽 시간대 금융관련 내용으로 스피어피싱(Spear Phishing) 표적공격이 진행되었습니다. ▶ 문서파일 취약점을 활용한 파일리스(Fileless) 악성코드의 스텔스 위협 ▶ 사망한 아이돌 가수 마지막 영상과 유서로 위장한 악성 프로그램 등장 ▶ 문서파일 취약점 공격과 한국 가상화폐 거래자 대상 공격간의 연관성 분석 ▶ 연말 채용 구인 공고 내용으로 위장한 가상화폐 채굴 감염 공격 주의 ▶ [주의] 가상화폐 채굴 공격으로 귀환한 비너스락커 랜섬웨어 제작자 공격자는 한메일 서비스를 이용했으며, '바젤3 관련자료' 등으로 위장한 이메일 제목을 사용했습니다. ※ (참고사항) 바젤3 란? 바젤3(Basel 3)이란 스위스 ..

악성코드 분석 리포트 2018. 1. 8. 15:41

인텔 CPU 취약점(Meltdown&Spectre) 분석 및 이스트시큐리티 대응상황 2018년 1월 4일, Jann Horn 등 보안연구원들은 ”Meltdown”(CVE-2017-5754)과 ”Spectre”(CVE-2017-5753 & CVE-2017-5715) 라고 명명된 2개의 CPU 취약점을 공개하였습니다. 해당 취약점들을 악용하면 공격자들이 사용자의 정보들을 유출시킬 수 있으므로 패치등의 조치를 취하시는 것이 안전합니다. 이스트시큐리티에서는 관련 취약점에 대한 분석을 진행중이며, 1차적으로 현재까지 확인된 내용을 공유드립니다. 추가 분석이 완료되는대로 추가포스팅을 올리거나 현재 글에 내용을 업데이트 할 예정입니다. 1월 10일 이스트시큐리티에서 상세분석한 내용을 별도포스팅으로 새로 업로드하였습니..

악성코드 분석 리포트 2018. 1. 5. 19:20

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 며칠 전 국내 특정 기관에서 공지한 '북한 2018년 신년사 분석' 내용으로 사칭한 HWP 취약점 기반 악성파일이 발견되었습니다. 수년 전부터 유사한 형태의 스피어 피싱(Spear Phishing) 추정 공격이 지속적으로 발견되고 있으므로, 이용자분들의 각별한 주의가 요망됩니다. [그림 1] 북한 2018년 신년사 분석으로 위장한 악성파일 실행 화면 해당 문서파일 포맷 내부에는 밀봉형 포스트스크립트(Encapsulated PostScript)인 'BIN0004.eps' 데이터가 포함되어 있습니다. 기본적으로 HWP 문서파일은 zlib 공개 압축 라이브러리를 사용하고 있는데, 압축된 부분을 해제하면 아래 비교화면과 같이 내부의 코드를 확인할 수 ..

악성코드 분석 리포트 2018. 1. 4. 17:09

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 한국 포털(사) 이메일 계정을 사용하는 불특정다수를 대상으로 다량의 악성 프로그램이 전파되고 있어 각별한 주의가 필요합니다. 공격자는 초기에 구글 지메일을 이용했지만, 근래에는 한메일을 이용하고 있습니다. 지난 주에는 주로 특정인의 노출 사진인 것처럼 위장해 이용자들을 현혹시켰습니다. 그런 가운데 최근 사망한 한국의 유명 아이돌 가수의 마지막 영상 유출 내용으로 악성파일을 유포하고 있습니다. 특히, 수백명에 가까운 이메일 주소를 몰래 삽입에 동시다발적으로 유포를 수행하고 있는 상태입니다. [그림 1] 악성 프로그램을 유포한 화면과 공격자 이메일 정보 이메일을 발송한 계정을 조사해 보면 실제 '꽃사슴' 필명으로 블로그가 존재하며, 주로 해외..

악성코드 분석 리포트 2017. 12. 22. 15:31

안녕하세요. 이스트시큐리티입니다. 작년 7월 4일 사용자의 마스터 부트 레코드(MBR)를 암호화 하여 PC 실행을 막는 Satana 랜섬웨어가 처음 등장하였습니다. 이는 MBR을 망가뜨리는 Petya 랜섬웨어와 클래식 랜섬웨어를 결합한 새로운 형태의 랜섬웨어였습니다. 그러나 모든 파일은 동일 특정 키로 암호화 된다거나, 디버그 스트링을 남기는 등 결점을 포함하고 있어 개발 초기 단계의 버전으로 보였습니다. (참고▶http://blog.alyac.co.kr/691) 그러나 올해 등장한 Satana 랜섬웨어는 Ransomware as a Service(RaaS) 형태로 진화했으며 다양한 안티 디버깅 기법과 프로세스 인젝션 등 클래식 랜섬웨어 기능에 분석을 어렵게 하기 위한 다양한 기법들을 포함하고 있습니다...

악성코드 분석 리포트 2017. 12. 21. 13:00

■ 금융 소프트웨어 위장 작전명 코인 매니저 (Coin Manager) 안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 지난 2009년 7.7 DDoS 공격부터 2013년 3.20 금융사/언론사 전산망 대란, 2017년 한국 특정 가상화폐 거래소 공격까지 한국에서 발생하고 있는 주요 사이버 보안위협에는 다양한 공통점이 존재합니다. 해외의 보안업체들은 이 공격그룹에 대해 이른바 라자루스(Lazarus) 등의 고유 그룹명을 지정해 사용하고 있기도 합니다. 이들은 한국의 주요 정부기관, 언론사, 금융사, 대북단체, 민간기업 등 매우 다양한 분야에 걸쳐 수년 넘게 사이버 침투 활동을 유지하고 있으며, 지금도 현재 진행형이라 해도 절대 과언이 아닙니다. [그림 1] 과거 주요 사이버 위협 사례 201..

악성코드 분석 리포트 2017. 12. 19. 02:08