안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 44CALIBER 악성코드는 2년전 러시아 개발자에 의해서 github에 소스가 공개된 것을 악성코드 제작자들이 소스 수정을 통하여 악성코드로 활용하고 있습니다. 주요 특징은 요즘 게이머들 뿐만 아니라 일반인들도 많이 사용하는 디스코드 메신저에서 제공하는 “Discord Webhook API”를 사용하여 사용자 크리덴셜 정보를 전송합니다. “Discord Webhook API”를 사용하면 디스코드 채널에 메시지 및 파일을 자동으로 올릴 수 있습니다. ‘44CALIBER’ 악성코드는 디스코드 메시저에서 제공하는 Webhook api를 사용하여 사용자 시스템의 크리덴셜 정보를 디스코드 채널로 전송받는 인포스틸러 악성코드입니다. 해당 악성코드는..

악성코드 분석 리포트 2022. 12. 21. 14:03

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 외교·안보·국방 및 대북 분야에 종사하는 전문가들을 상대로 마치 자문요청이나 참고자료처럼 가장한 해킹 시도가 지속적으로 포착되고 있어 관련자들의 각별한 주의가 필요합니다. 이러한 공격은 주로 피싱 메일로 시작되며, 정치외교 전공 대학교수나 싱크탱크 연구원, 대북 분야 협회나 단체에 소속된 인물, 평화통일 유관 업무 공무원 등 분야별 전문가를 다양하게 사칭해 접근하고 있습니다. 피싱 메일은 마치 공신력 있는 기관 또는 단체에 소속된 관계자가 발송한 것처럼 위장하여 사용자들의 신뢰를 얻으려 시도합니다. 다만, 해커가 제작한 여러 피싱 사이트의 화면들이 대체로 유사하여 사용자들이 세심한 주의를 기울이면 유사 위협을 예방할 수 있을 것으로 예상됩..

악성코드 분석 리포트 2022. 12. 20. 10:25

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 12월 11일~12월 17일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 80건이고 그중 악성은 30건으로 37.5%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 39건 대비 30건으로 9건이 감소했습니다. 일일 유입량은 하루 최저 1건(악성 1건)에서 최대 21건(악성 8건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 30건 중 Attach-Malware형이 53.3%로 가장 많았고 뒤이어 Link-Malware형이 23...

악성코드 분석 리포트 2022. 12. 19. 14:20

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 정상적인 페이지처럼 모든 동작을 구현한 피싱 페이지가 발견되어 사용자들의 각별한 주의가 필요합니다. 해당 페이지는 네이버를 위장하고 있습니다. 해당 피싱 페이지는 검색결과나 메뉴 등이 실제 네이버와 매우 유사하게 동작합니다. 실제 피싱 페이지에서 '이스트시큐리티'를 검색했을 경우, 네이버 검색과 유사한 검색결과가 노출됨을 알 수 있습니다. 발견 된 피싱사이트는 네이버 포탈 사이트에서 검색하는 결과 내용을 제작자가 만든 서버에 저장하여 사용자에게 다시 보여주는 방식으로 사용자가 실제 네이버 포탈 사이에 검색한 것처럼 제작되어 있습니다 만일 사용자가 해당 사이트가 실제 네이버 포탈 사이트로 착각하여 로그인을 시도하게 되면, 입력 한 개인정보가..

악성코드 분석 리포트 2022. 12. 15. 16:53

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 12월 04일~12월 10일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 122건이고 그중 악성은 39건으로 31.97%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 18건 대비 39건으로 21건이 증가했습니다. 일일 유입량은 하루 최저 1건(악성 6건)에서 최대 39건(악성 15건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 39건 중 Attach-Phishing형이 53.8%로 가장 많았고 뒤이어 Attach-Malwar..

악성코드 분석 리포트 2022. 12. 15. 09:28

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 기업을 대상으로 견적의뢰 사칭 피싱 메일이 대량으로 유포되고 있어 기업 사용자들의 각별한 주의가 요구됩니다. 공격자는 기업들이 내년 사업준비 및 예산 확보를 위해 연말에 견적 문의를 많이하는 점을 악용하여 견적문의를 위장한 악성 메일을 유포하고 있습니다. 수신자의 신뢰를 얻기 위하여 이미 다른 경로로 유출된 정상 사용자의 이메일 계정을 이용하여 악성 메일을 유포한 것으로 추정되고 있습니다. 이메일은 견적의뢰 내용과 함께 CVE-2017-11882 취약점을 악용하는 익스플로잇이 포함된 워드파일이 첨부되어 있습니다. CVE-2017-11882 취약점은 원격코드실행이 가능하도록 허용하는 스택오버플로우 취약점으로, 해당 취약점이 패치된 버전을 사..

악성코드 분석 리포트 2022. 12. 14. 14:53

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 국내 이용자의 개인정보가 담긴 파일을 이용한 APT 공격이 발견되어 사용자들의 각별하나 주의가 필요합니다. 이번에 발견된 공격 파일은 문서(docx) 파일로, 최근 공격자들이 자주 사용하는 원격 템플릿 주입(Remote Template Injection) 기술을 사용하였습니다. 해당 문서 파일은 ‘Paypal’ 이름의 계정에서 22년 12월 6일 19시 26분경 수정된 것으로 확인되며, Remote Template Injection 기술을 사용해 ‘k22012.c1[.]biz/paypal.dotm’에서 악성 매크로가 포함된 dotm 확장자의 템플릿 파일을 다운로드 및 실행합니다. 사용자가 [콘텐츠 사용] 버튼을 눌러 매크로 기능을 활성화 ..

악성코드 분석 리포트 2022. 12. 7. 13:41

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 카카오 계정정보 탈취를 시도하는 피싱 메일이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 이메일은 송장을 위장하고 있으며, 지불금액이 일치하지 않는다는 내용과 함께 PDF 파일이 첨부되어 있습니다. PDF 파일은 HSBC 은행에서 온 송장을 위장하고 있으며, 사용자로 하여금 [View Remittance Receipt] 버튼 클릭을 유도합니다. 해당 버튼을 클릭하면 카카오 로그인 페이지를 위장한 피싱 페이지로 접속되며 계정정보 입력을 유도하지만, 페이지가 영문으로 보이며, 카카오 CI가 카카오 CI가 깨져 보이는 등 완성도가 높지 않아 사용자가 쉽게 피싱페이지 임을 인지할 수 있습니다. 입력한 정보는 공격자 서버인 hxxps://..

악성코드 분석 리포트 2022. 12. 6. 16:59