안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 이력서를 위장한 워드파일 형태로 LockBit 랜섬웨어를 유포하던 조직이, LockBit 랜섬웨어와 함께 Amadey Bot을 유포하고 있어 사용자들의 각별한 주의가 필요합니다. Amadey Bot은 봇의 일종으로 공격자의 명령을 받아 정보 탈취나 추가 악성코드를 다운로드 등의 역할을 하는 악성코드 입니다. 이번 악성 파일의 유포 방식은 확인되지 않았지만, '심시아.docx', '임서은.docx', '임규민.docx' 등 수집된 파일들이 이름을 사용하는 것으로 보았을 때 입사지원서를 위장한 피싱 메일 형태로 유포되고 있는 것으로 추정되고 있습니다. 현재까지 발견된 샘플들은 모두 악성 매크로가 포함된 워드파일 형태로 유포되고 있으며, 이는 ..

악성코드 분석 리포트 2022. 10. 31. 15:36

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 10월 23일~10월 29일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 71건이고 그중 악성은 37건으로 52.11%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 31건 대비 37건으로 6건이 증가했습니다. 일일 유입량은 하루 최저 2건(악성 1건)에서 최대 17건(악성 12건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 37건 중 Attach-Malware형이 35.1%로 가장 많았고 뒤이어 Attach-Phishing형..

악성코드 분석 리포트 2022. 10. 31. 10:05

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 국내 포털사이트 네이버의 아이디 보호조치가 실시되었다는 내용의 피싱 공격이 다수 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 "귀하의 ID는 정지되었습니다"라는 제목이 사용되었으며, 사용자의 아이디로 스팸 및 홍보용 메일이 발송되어 아이디를 보호 중에 있으며 이를 해제하기 위해 본문에 포함된 링크 클릭을 유도합니다. 만일 사용자가 이메일에 포함된 링크를 클릭하면 공격자가 생성해 둔 피싱 페이지로 이동합니다. 사용자가 피싱 페이지에 개인정보를 입력 시 제작자에게 계정 정보가 전달되며, 자동으로 정상 네이버 로그인 페이지로 리다렉션되어 사용자가 쉽게 알아채기 어렵습니다. 해당 피싱 메일은 실제 네이버에서 사용하는 경고 메일과 ..

악성코드 분석 리포트 2022. 10. 28. 14:03

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 9월은 8월과 마찬가지로 건강검진 키워드를 사용하는 스미싱이 공격을 주도하고 있습니다. 이는 택배 스미싱 공격보다 건강검진 키워드를 사용하는 공격이 보다 효과적이기 때문에 공격자들이 적극적으로 활용하고 있는 것으로 추측하고 있습니다. 건강검진을 키워드로 하는 스미싱 공격이 77.62%를 차지하고 있으며 8월 대비 27.55% 증가했습니다. 뒤를 이어 택배를 키워드로 하는 스미싱 공격은 13.89%로 8월 대비 19.63% 감소했습니다. 그리고 보이스피싱을 유도하는 내용의 스미싱 공격이 5.09%를 차지하고 있으며 8월 대비 3.04% 감소했습니다. 마지막으로 수사기관을 사칭하는 스미싱 공격이 0.9%를 차지하고 있습니다. 8월 대비 2.3..

악성코드 분석 리포트 2022. 10. 27. 16:13

안녕하세요! 이스트시큐리티 시큐리티대응센터(ESRC)입니다. ‘2022 외교안보연구소(IFANS) 국제문제회의’ 초대장 처럼 위장한 북한 연계 해킹 공격이 발견되어 관련자 여러분들의 각별한 주의가 필요합니다. 이번 공격은 오는 11월 2일 국립외교원 외교안보연구소(IFANS)에서 개최가 예정되어 있는 국제문제회의 행사에 외교·안보·국방 분야 전문가를 초대하는 것처럼 위장하고 있으며, 이들로 하여금 구글 설문지를 작성하도록 유도하여 정보 탈취를 시도하는 공격 기법을 사용하였습니다. 국제문제회의는 국립외교원 외교안보연구소의 연례 포럼으로 국내외 학계 주요인사 및 외교·안보·국방 분야별 전문가들이 다양한 논의와 전망을 모아 분석함으로써 외교전략 수립에 기여하는 토론회입니다. 공격자는 지난 10월 21일, 외교..

악성코드 분석 리포트 2022. 10. 26. 13:05

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 검색 엔진 검색 결과를 통한 악성코드가 유포되고 있어 사용자들의 주의가 필요합니다. 구글은 구글 광고 계약자들의 페이지를 검색 결과창 최상단에 노출시켜 많은 사용자들의 방문을 유도하는데, 공격자는 이러한 특징을 이용하였습니다. ESRC에서 이번에 발견한 악성코드는 애프터버너(Afterburner)를 위장하고 있으며, 구글 검색엔진 검색결과를 통해 유포되고 있습니다. 애프터버너는 GPU 모니터링 및 오버클럭이 가능하도록 지원하는 그래픽카드 sw로 많은 게이머 및 암호화폐 채굴자들이 사용합니다. 구글 검색엔진에서 'Afterburner'를 검색하면 공식 홈페이지 보다 광고 페이지가 더 상단에 뜨는데, 검색결과 앞에 광고라고 표시되어 있긴 하지..

악성코드 분석 리포트 2022. 10. 25. 16:45

안녕하세요! 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 기능을 업데이트 한 매그니베르 랜섬웨어가 유포 중에 있어 사용자들의 주의가 필요합니다. 매그니베르 랜섬웨어는 기존과 동일하게 해킹된 불특정 다수를 대상으로 .msi 파일 형태로 유포 중에 있습니다. 공격자들은 'SYSTEM.Critical.Upgrade.Win10.0.16자리 랜덤 문자열' 파일명을 가진 .msi 파일을 내려주어 사용자들의 실행을 유도합니다. 매그니베르 랜섬웨어는 MSI 패키지 파일 내부에 매그니베르 랜섬웨어를 dll 형태로 포함하여 유포하며, 만일 사용자가 해당 파일을 업데이트 파일로 오인하여 실행하면 msi 파일 내 포함되어 있는 dll 파일이 호출되며 매그니베르 랜섬웨어가 실행됩니다. 매그니베르 랜섬웨어가 실행되면 사용자 ..

악성코드 분석 리포트 2022. 10. 24. 13:21

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 최근에도 스미싱 공격은 꾸준하게 발생하고 있으며 [그림 1]과 같이 키워드별 발견 비율을 확인할 수 있습니다. 건강검진 결과를 미끼로 유포되는 문자들이 압도적으로 많지만 꾸준하게 수사기관을 사칭하는 문자도 발견되고 있으며 여러 가지 버전으로 바뀌어 왔습니다. 문자 내용 본인 등본상 주거지로 2회에 걸쳐 해당서류 발송을 하였으나 반송으로 인하여 부득이하게 통신고지 해드립니다. 빠른 시일내에 상기 연락처로 연락주시기 바랍니다. 연락처 : 010-****-**** *참고 서울지방검찰청을 위장한 스미싱 문자 주의! 검찰을 사칭할 때는 연락을 통해 접근하거나 이미지를 활용한 문자를 보내 접근해오고 있습니다. 따라서 통화 시 앱 설치를 유도한다면 주의 깊..

악성코드 분석 리포트 2022. 10. 24. 11:00