안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 피싱 메일을 통하여 LockBit 랜섬웨어와 정보탈취 악성코드가 함께 유포되고 있어 사용자들의 각별한 주의가 필요합니다. 최근 공격자들은 랜섬웨어와 함께 다른 악성코드도 유포하는 양상을 보이고 있습니다. 이번에 발견된 공격에서는 정보탈취 악성코드를 유포중이며, 얼마 전에는 Amadey bot을 유포하기도 하였습니다. 이번에 발견된 공격은 "#언제나 미소를 가지고 준비된 지원자입니다."라는 제목의 입사지원 메일로 위장하고 있으며 본문에는 잘 부탁드린다는 내용과 함께 압축된 첨부파일이 포함되어 있습니다. 첨부파일은 비밀번호가 설정되어 있으며, 설정되어있는 비밀번호는 압축파일 명에 포함되어 있습니다. 압축파일은 이중 압축이 되어있으며, 압축파일..

악성코드 분석 리포트 2022. 11. 18. 17:20

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 국세청 전자세금계산서를 위장한 악성 메일이 발견되어 사용자들의 각별한 주의가 요구됩니다. 이번에 수집된 악성 메일은 실제 국세청 전자세금계산서와 매우 유사하게 위장하고 있으며, ZIP 첨부파일에는 EXE 실행 파일이 포함되어 있습니다. 공격자는 첨부파일 ZIP 파일명을 "NTS_eTaxInvoice·pdf"로 생성하여, 사용자가 압축파일을 해제했을 경우 EXE 파일이 아니라 PDF 문서 파일로 보여 실행을 유도하도록 단순하지만 속이기 쉬운 트릭을 사용하였습니다. 이는 윈도우 기본 설정에서 폴더 옵션 중 '확장자 보기' 기능이 기본적으로 비활성화되어 있기 때문에 공격자가 이러한 점을 노려 제작된 것으로 추측됩니다. NTS_eTaxInvoic..

악성코드 분석 리포트 2022. 11. 16. 18:20

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 이번주 초부터 현재까지 경찰청교통민원24를 사칭한 스미싱이 대량으로 유포중에 있어 사용자들의 각별한 주의가 필요합니다. 현재 대량으로 유포중인 스미싱은 다음과 같은 문구로 유포중입니다. [교통24(이파인)]어린이 보호구역 보도 미정차.처벌통지서발송완료 http://xx.xx [교통24(이파인)]자동차위반벌점처분고지서 발송 완료 http://xx.xx 만일 사용자가 스미싱 문자 내 링크를 클릭하면, 공격자가 제작해 놓은 경찰교통민원24(이파인) 피싱 페이지로 이동하며, 조회를 위해서는 휴대폰 정보를 입력해야 한다며 휴대폰번호 입력을 유도합니다. 공격자는 사용자들의 의심을 피하기 위하여 다음과 같은 트릭을 씁니다. - 스미싱 문자에 포함된 피..

악성코드 분석 리포트 2022. 11. 15. 16:13

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 11월 06일~11월 12일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 89건이고 그중 악성은 34건으로 38.2%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 25건 대비 34건으로 9건이 증가했습니다. 일일 유입량은 하루 최저 2건(악성 1건)에서 최대 25건(악성 12건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 34건 중 Attach-Malware형이 47.1%로 가장 많았고 뒤이어 Attach-Phishing형이..

악성코드 분석 리포트 2022. 11. 14. 16:39

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 해킹당한 광고서버를 통한 매그니베르 랜섬웨어 유포가 지속되고 있습니다. 파일명은 'MS.Update.Center.Security.KB랜덤7자리숫자' 로, 크롬브라우저 사용자의 경우 .msi 파일 확장자로, 엣지 브라우저 사용자의 경우 .msi 파일이 포함된 압축파일 형태로 브라우저를 통해 사용자 PC에 자동으로 다운로드 됩니다. msi 파일 exe 파일과 동일하게 파일을 설치할 수 있는 파일이지만. 상대적으로 일반 사용자들에게 알려져 있지 않아, 사용자들이 해당 파일을 실행할 가능성이 더 높습니다. MSI 파일 내부에는 인코딩된 악성 VBS 스크립트가 포함되어 있으며 디코딩 된 내용은 다음과 같습니다. WMIC /Namespace:\\ro..

악성코드 분석 리포트 2022. 11. 8. 15:08

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 스미싱 문자는 택배, 공공기관, 쇼핑몰 등등 다양한 패턴으로 사용자들의 돈을 노리고 접근해오고 있습니다. 이 중에서도 쇼핑몰을 위장한 악성 앱은 꾸준하게 발견되고 있으며 상품명과 결제 금액만 무분별하게 유포하고 있습니다. 최근 해외여행을 다녀오는 사람들이 증가함에 따라 관련 상품으로 사칭한 스미싱 문자도 발견되고 있으므로 사용자의 각별한 주의가 요구됩니다. 보이스피싱 발견비율 [국외발신] OOO님 [해외직구] 본인실명인증완료 KRW:865,180원 결제완료 사고신고접수:xxxx-xxxx 3.9% OOO님 주문하신OOO OOOO [국민은행] 1,187,000원 결제완료 본인아닌경우 신고 전화문의:050-xxxx-xxxx 3.9% [국제발신]..

악성코드 분석 리포트 2022. 11. 7. 17:36

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 10월 30일~11월 05일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 81건이고 그중 악성은 24건으로 29.63%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 40건 대비 24건으로 16건이 감소했습니다. 일일 유입량은 하루 최저 1건(악성 1건)에서 최대 27건(악성 11건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 24건 중 Attach-Malware형이 41.7%로 가장 많았고 뒤이어 Attach-Phishing..

악성코드 분석 리포트 2022. 11. 7. 11:19

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. "Payment Error" 제목의 스팸메일이 발송되고 있어 사용자의 주의가 필요합니다. 메일 본문에는 사용자가 계좌로 지불한 내역이 오류가 있었고, 아래의 링크에서 첨부파일을 다운로드하여 은행 정보가 맞는지 확인하라는 내용이 기재되어 있습니다. 링크가 연결된 사이트에는 다운로드할 수 있는 2개의 파일이 존재하며, 해당 파일 들은 각각 ProformaInvoice.doc.exe, Payment Details_xcod.exe 파일명으로 생성되어 있으며 Word, PDF 문서의 아이콘으로 위장되어 있습니다. 2개의 파일은 모두 Resmcos RAT 악성코드로써 실행 시 C&C통신 이후 스크린샷, 키로깅, 레지스트리 추가 및 편집, 공격자 명령..

악성코드 분석 리포트 2022. 11. 2. 16:27