안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 최근 발견된 Trojan.Android.KRBanker 악성 앱은 분석을 어렵게 하기 위해 압축 해제가 정상적으로 되지 않게 제작되어 유포되고 있습니다. 이 악성 앱은 기기에서의 설치는 정상적으로 진행되어 설치에 문제가 없으며 설치 후 정상적으로 악성 행위를 수행합니다. 이렇게 압축 포맷을 수정하게 되면 악성 앱의 발견을 늦출 수 있으며 결과적으로 백신에서 악성 앱의 탐지가 어려워질 것으로 판단됩니다. 이런 악성 앱은 스미싱 공격을 통해 꾸준하게 유포되고 있습니다. 공격자는 악성 앱을 개선하여 생존율을 높이기 위해 노력하고 있습니다. 악성 앱의 생존율이 높아지면 공격자는 이를 통한 수익을 실현할 확률이 올라가게 됩니다. 스마트폰을 사용하는 사용..

악성코드 분석 리포트 2023. 3. 24. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 국내에서 작년 10월 경 LockBit 랜섬웨어를 유포하는 것으로 알려진 공격 그룹이 Amadey Bot를 활용한 정황이 확인되었고, 모듈을 통해서 정보 탈취 등의 기능을 수행하는 것으로 알려져 있습니다. 또한 최근에도 외국에서 일부 유포되는 정황이 확인되고 있습니다. Amadey의 주요 기능은 감염PC의 정보 수집 및 전송과 명령제어 기능, 그리고 추가 모듈 다운로드를 통해서는 애플리케이션 크리덴셜 탈취 및 클립보드에 저장된 암호화폐 지갑 주소 하이재킹 기능을 수행합니다. ‘Amadey’ 악성코드는 사용자 PC 정보 수집 및 전송 기능을 가진 악성코드입니다. 또한 추가적으로 모듈을 다운로드함으로써 기본 기능 외의 클립보드에 저장된 암호화..

악성코드 분석 리포트 2023. 3. 23. 14:53

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 국내 유명은행 보안메일을 사칭하여 계정정보 탈취를 시도하는 공격이 발견되어 사용자들의 각별한 주의가 필요합니다. 이번 공격은 "[**은행,거래통지]_당발송금-국내자금이체 전문통지"라는 제목의 피싱 메일을 통해 유포되었습니다. 피싱 메일은 은행에서 발송하는 보안 메일과 유사하게 제작되어있으며, "보안메일.html" 파일이 첨부되어 있습니다. 공격자는 발송자 정보를 실제 해당 은행 메일 발송 정보로 조작하여 사용자의 실행을 유도하였습니다. 사용자가 피싱 메일 내 첨부되어 있는 "보안메일.html" 파일을 실행하면 주민번호 앞 6자리를 입력하라는 실제 보안메일과는 다르게 계정 비밀번호를 요구합니다. 만일 사용자가 해당 페이지에 비밀번호를 입력한..

악성코드 분석 리포트 2023. 3. 23. 14:01

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 03월 12일~03월 18일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 88건이고 그중 악성은 42건으로 47.73%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 41건 대비 42건으로 1건이 증가했습니다. 일일 유입량은 하루 최저 4건(악성 1건)에서 최대 23건(악성 11건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 42건 중 Attach-Phishing형이 54.8%로 가장 많았고 뒤이어 Attach-Malware형..

악성코드 분석 리포트 2023. 3. 21. 09:30

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 3월 20일, 대한민국 국가정보원(NIS)와 독일 헌법보호청(BfV)이 합동 권고문을 발표하였습니다. 이번 합동 권고문은 킴수키(Kimsuky) 해킹조직(탈륨, 벨벳천리마 등으로도 불림)이 한반도ㆍ대북 전문가를 공격하기 위해 구글에서 제공하는 브라우저 및 앱 스토어 서비스를 악용한 사례에 대해 공개하여 사이버 공격에 대한 사용자들의 경각심 고취를 목적으로 하고 있습니다. 킴수키 해킹 조직은 이번 공격에서 2가지 공격 수법을 사용하였습니다. 1) 크롬미움 브라우저 확장프로그램(Extension)을 악용한 구글메일 절취 스피어피싱 이메일을 통해 악성 크로미움 확장프로그램 설치를 유도한 후, 피해자가 G메일 로그인시 자동으로 확장프로그램이 동작..

악성코드 분석 리포트 2023. 3. 21. 08:42

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 주로 피싱/스팸 메일이나 크랙 프로그램을 통해 유포되었던 QuasarRAT이 매크로가 포함된 워드 파일을 통해 유포된 정황이 포착되어 사용자들의 각별한 주의가 필요합니다. QuasarRAT은 공격자로 하여금 원격 접근이 가능하도록 허용하는 악성코드로, 사용자 계정 및 사용자 환경 정보 수집이 가능하며, 원격 코드실행 및 파일 업/다운로드 등 추가 악성행위가 가능합니다. 이번에 수집된 샘플은 "협의 이혼 의사 확인 신청서" 워드파일을 위장하고 있으며, 악성 매크로가 포함되어 있습니다. 사용자가 파일을 실행하면 [콘텐츠 사용] 버튼 클릭을 유도하며, [콘텐츠 사용] 버튼을 누르면 협의이혼의사확인신청서 양식을 보여주며 정상파일인것 처럼 위장합니..

악성코드 분석 리포트 2023. 3. 15. 11:51

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 사이버 안전국을 사칭한 피싱 메일이 유포되고 있어 사용자들의 각별한 주의가 필요합니다. 이번 피싱 메일은 대북 관련 법인 종사자에게 발송되었으며, 사이버 안전국에서 발송된 메일처럼 위장하고 있습니다. 피싱 메일에는 '정보통신망이용촉진 및 정보보호' 의 압축파일이 첨부되어 있으며, 본문에는 마치 사용자가 사이버안전국 사이버범죄 상담코너에 상담을 신청한 것처럼 작성되어 있으며, 법령위반, 법적책임 및 아이디 도용과 같은 단어들을 사용하면서 사용자의 불안감을 조성하여 첨부파일 열람을 유도합니다. 메일 내용은 다음과 같습니다. 안녕하세요 경찰청 사이버안전국입니다. 사이버안전국 사이버범죄 상담코너를 이용해 주셔서 감사드립니다. 회원님께서 발송하신 ..

악성코드 분석 리포트 2023. 3. 14. 14:53

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 03월 05일~03월 11일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 89건이고 그중 악성은 41건으로 46.07%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 36건 대비 41건으로 5건이 증가했습니다. 일일 유입량은 하루 최저 4건(악성 2건)에서 최대 23건(악성 12건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 41건 중 Attach-Phishing형이 58.5%로 가장 많았고 뒤이어 Attach-Malware형..

악성코드 분석 리포트 2023. 3. 14. 10:00