안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 주 대한민국 호주 공사 및 공관차석 알렉산드라 씨들의 이력이 적힌 악성 워드파일이 유포되어 사용자들의 주의가 필요합니다. 피싱 메일 내 첨부파일을 통해 악성 매크로가 포함된 워드파일 형태로 유포된 것으로 보이며, 공격 목표는 특정인 혹은 특정 집단일 것으로 추정됩니다. 워드파일을 실행하면 워드파일을 업데이트 하라는 문구가 뜨며, [콘텐츠 사용] 버튼을 활성화 하도록 유도합니다. [콘텐츠 사용] 버튼이 기본적으로 비활성화 되어있는 것은 내부에 매크로 코드가 포함되어 있는 경우 자동으로 실행되는 것을 방지하기 위한 보호조치 입니다. 이 때문에 공격자들은 사용자로 하여금 [콘텐츠 사용] 버튼을 누르도록 유도하여 공격자가 내부에 심어놓은 매크로 ..

악성코드 분석 리포트 2022. 5. 18. 13:19

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 작년 하반기부터 활동중인 Mallox 랜섬웨어는 2022년 3월 랜섬웨어 패밀리들을 대상으로 진행된 통계에서 기업 타겟 랜섬웨어로 1위를 차지했습니다. 현재까지 국내에 감염된 사례는 보고된 적 없지만 봇넷, 네트워크 유포, 취약한 암호 등 다양한 방식을 통해 유포 중인 것으로 알려진 Mallox 랜섬웨어를 분석하고자 합니다. Mallox 랜섬웨어는 사용자 PC의 데이터를 암호화하여 금전을 요구하는 악성코드입니다. 시스템 언어가 러시아어, 카자흐어, 벨라루스어, 우크라이나어, 타타르어일 경우 암호화 작업 없이 프로세스를 종료하는 것과 사용자의 APR table에서 IP 주소와 관리 목적의 공유 폴더를 사용하여 랜섬웨어를 전파한다는 특징이 있..

악성코드 분석 리포트 2022. 5. 18. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 어제(16일)부터 현재까지 이력서, 저작권 침해를 위장한 피싱 메일을 통하여 LockBit 랜섬웨어가 다수 유포되고 있어 사용자들의 주의가 필요합니다. 이력서와 저작권 관련 피싱 메일을 통하여 랜섬웨어를 유포하는 방식은 비너스락커 조직이 오래전부터 사용하던 공격수법입니다. 피싱 메일에는 수신자가 사진의 저작권을 위반하였다는 내용과 함께 랜섬웨어가 포함된 압축파일이 포함되어 있습니다. 첨부되어 있는 압축파일은 비밀번호가 설정되어 있으며, 비밀번호는 압축파일명에 적혀 있어 사용자가 쉽게 알 수 있습니다. .zip으로 압축되어 있는 압축파일 내에는 또 하나의 .alz 압축파일이 있으며, 해당 압축파일 내에 한글 파일 아이콘을 위장한 실행파일과 ..

악성코드 분석 리포트 2022. 5. 17. 16:09

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 05월 08일~05월 14일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 82건이고 그중 악성은 37건으로 45.12%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 16건 대비 37건으로 21건이 증가했습니다. 일일 유입량은 하루 최저 1건(악성 1건)에서 최대 25건(악성 11건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 37건 중 Attach-Malware형이 43.2%로 가장 많았고 뒤이어 Link-Malware형이 ..

악성코드 분석 리포트 2022. 5. 17. 09:30

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 예전부터 택배 배송과 관련된 스미싱은 자주 등장하였고 지금까지도 꾸준하게 발견되고 있습니다. 이는 전체 스미싱 문자 부분에서도 차지하는 비율이 크며 [표 1]과 비슷한 형태를 띠고 있습니다. 택배 발견비율 [Web발신] 배송불가 도로명불일치 앱 다운 주소지확인 부탁드립니다 hxxp://xxxxx.xxxxx[.]com 91% [Web발신]고객님의 택배가 오늘 배송될 예정입니다 hxxp://xxxxx.xxxxx[.]com 2.3% [대한통운] 고객님 택배 배송 실패 즉시 주.소 변경 부탁드립니다.[ xxx.xxxxxxxx[.]top ] 0.6% [대한통운] 고 객님 상품 배.송불가 :주:소 오류 즉시 :주:소 변경 hxxps://xxx.xxx..

악성코드 분석 리포트 2022. 5. 13. 11:09

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 이모텟(Emotet) 악성코드가 재 유포중에 있어 사용자들의 각별한 주의가 필요합니다. 이모텟 악성코드는 4월 중순부터 대량으로 유포되어 오다 5월의 시작점을 기점으로 유포가 중단되었습니다. 하지만 금일(12일)부터 다시 유포 정황이 확인되었습니다. 4월 말, 이모텟 악성코드는 Powershell 명령이 포함된 윈도우 바로가기 파일(.lnk)을 사용하는 새로운 방식을 사용하였습니다. 하지만, 이번에 유포되고 있는 이모텟 악성코드는 기존의 악성 매크로가 포함된 XLS파일 및 암호화 된 압축 파일을 통한 유포방식을 사용하고 있습니다. 만일 사용자가 첨부되어 있는 excel 파일을 실행한다면 '콘텐츠 사용' 버튼의 활성화를 유도합니다. 만일 사..

악성코드 분석 리포트 2022. 5. 12. 19:03

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 05월 01일~05월 07일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 48건이고 그중 악성은 13건으로 27.08%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 21건 대비 13건으로 8건이 감소했습니다. 일일 유입량은 하루 최저 1건(악성 1건)에서 최대 13건(악성 4건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 13건 중 Link-Malware형이 46.2%로 가장 많았고 뒤이어 Attach-Phishing형이 3..

악성코드 분석 리포트 2022. 5. 10. 09:30

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 북한이탈주민(탈북민) 자문위원들에게 의견을 수렴하는 내용처럼 위장한 HWP 악성 문서 기반 北 연계 해킹 공격이 발견되어 사용자들의 각별한 주의가 필요합니다. 이번 공격은 마치 북한이탈주민 자문위원을 대상으로 한 의견수렴 설문지처럼 위장한 것이 특징이며, 공격자는 HWP 한글 문서 내부에 OLE(개체 연결 삽입) 기능을 악용했습니다. 공격자는 수신자가 문서를 실행하면 ‘상위 버전에서 작성한 문서입니다.’ 등의 가짜 메세지 창을 띄워 사용자의 클릭을 유도하며 사용자가 확인 버튼을 누르면, HWP 파일 내 삽입되어 있는 OLE 기능을 통하여 배치(Bat) 파일과 파워셸(Powershell) 명령어를 통해 국내 특정 서버로 통신을 시도합니다. ..

악성코드 분석 리포트 2022. 5. 9. 11:44