안녕하세요. ESRC(시큐리티 대응센터)입니다. 국제 택배사를 위장하여 계정정보 탈취를 시도하는 피싱 메일이 유포중에 있어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 DHL을 위장하고 있습니다. 피싱 메일은 택배발송과 관련된 송장번호, 발송지 등의 내용이 포함시켜 사용자로 하여금 실제 DHL에서 보낸 것처럼 착각하도록 유도합니다. 피싱 메일에는 pdf 파일과 html 파일이 첨부되어 있으며, 이메일 본문에서 첨부되어 있는 파일들을 열어보라며 사용자의 실행을 유도합니다. 만일, 사용자가 html 파일을 실행한다면 실제 DHL 페이지처럼 위장하고 있는 페이지가 나타납니다. 해당 페이지에서는 고객 확인을 이유로 사용자로 하여금 계정정보의 입력을 유도합니다. 만일 사용자가 계정정보를 입력하고 Track..

악성코드 분석 리포트 2022. 5. 30. 15:47

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 SNS를 통해 사용자들의 이벤트 참여를 유도하는 기업 및 단체들이 증가하고 있습니다. 실제로 많은 기업들 및 단체들이 SNS 팔로우를 하고 댓글을 다는 방식을 통하여 사용자들의 이벤트 참여를 유도하고, 당첨자들에게는 개인 메세지를 통해 당첨사실을 알려주고 있습니다. 이러한 기조에 발맞춰, 최근 SNS를 통한 개인정보 유출을 시도하는 공격들이 급증하고 있어 사용자들의 각별한 주의가 필요합니다. 공격자는 SNS 계정을 실제 공식 SNS 계정들의 아이디와 매우 유사하게 생성하고, 프로필 사진 역시 사칭하고 있는 공식 계정의 사진과 동일하게 설정해 놓아 사용자로 하여금 공식 계정인 것처럼 착각하도록 유도합니다. 특히 아이디의 경우 _를 . ..

악성코드 분석 리포트 2022. 5. 26. 15:18

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 서울대학교 초청장을 위장한 피싱 메일이 유포중에 있어 사용자들의 주의가 필요합니다. 공격자는 보낸사람 주소를 변경하여 마치 실제 서울대학교에서 보낸 것처럼 위장하고 있습니다. 사용자의 신뢰를 얻기 위하여 이메일 본문에 다시 한번 서울대학교라는 점을 강조하며, 견적서를 특정 가까운 시일까지 제출하라며 사용자의 열람을 유도합니다. 첨부되어 있는 압축파일 내에는, pdf 파일을 위장한 실행파일(.exe)이 포함되어 있습니다. 만일 사용자가 해당 첨부파일을 실제 PDF 파일로 오인하여 실행한다면, 사용자 PC의 정보를 수집하며 C&C 서버에 접속하여 추가 악성 행위가 진행될 수 있습니다. 사용자 여러분들께서는 출처가 불분명한 사용자에게서 수신한 ..

악성코드 분석 리포트 2022. 5. 26. 09:53

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 05월 15일~05월 21일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 106건이고 그중 악성은 35건으로 33.02%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 38건 대비 35건으로 3건이 감소했습니다. 일일 유입량은 하루 최저 1건(악성 1건)에서 최대 29건(악성 10건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 35건 중 Attach-Malware형이 42.9%로 가장 많았고 뒤이어 Attach-Phishing..

악성코드 분석 리포트 2022. 5. 24. 09:30

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 세무조사 공지를 위장하여 계정정보 탈취를 시도하는 피싱 메일이 발견되어 사용자들의 주의가 필요합니다. '세무조사'는 공격자들이 자주 사용하는 키워드로, ESRC에서도 세무조사를 위장한 피싱 메일에 대해 포스팅을 작성한 적이 있습니다. ▶ 국세청 세무조사통지서를 위장하여 유포중인 Lokibot 주의! 이번에 발견된 피싱 메일은 '5월 세무조사 공지'라는 제목으로 유포되었으며, html 파일이 대용량파일 형태로 파일이 첨부되어 있습니다. 만일 사용자가 해당 메일을 정상 메일로 오인하여 링크를 클릭하면 악성 html 파일이 사용자 PC로 다운로드 됩니다. 사용자가 다운로드 된 html 파일을 실행하면, 실제 다음(Daum) 로그인 페이지와 유사..

악성코드 분석 리포트 2022. 5. 23. 15:29

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 문화체육관광부 산하 한국정책방송원(KTV)의 유튜브 방송 출연 섭외로 위장한 HWP 악성 문서가 전파되고 있어 각별한 주의가 요구됩니다. 이번에 발견된 공격은 KTV의 온라인 정책시사저널 프로그램에 출연 문의를 요청하는 HWP 문서처럼 위장해 이루어졌습니다. 즉, 실제로 존재하는 유튜브 방송을 사칭해 대북 분야 전문가 대상으로 공격이 수행된 것입니다. 악성 문서파일 내부에는 실제 프로그램 진행자 소개와 함께 5월 24일(화) [‘윤석열 정부 남북정책’ 북한 코로나 지원, 남북대화 방향은?]이라는 주제로 방송 출연이 가능한지 문의하는 내용을 담고 있습니다. 공격자는 HWP 한글 문서 내부에 악성 OLE(개체 연결 삽입) 명령을 추가해,..

악성코드 분석 리포트 2022. 5. 23. 13:51

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 스미싱 공격은 다양한 키워드를 활용하여 수행합니다. 그러나 초창기 스미싱 공격부터 현재까지 꾸준하게 공격자들이 선호하는 키워드가 있습니다. “택배” 키워드입니다. 초창기 스미싱 공격의 주요 키워드는 “청첩장”, “돌잔치”, “택배” 등이었습니다. 그러나 “택배” 이외의 키워드들은 시기나 사회의 관심사와 연관된 키워드로 지속적으로 변경이 되었으나 “택배” 키워드만큼은 꾸준하게 활용되고 있습니다. 택배 스미싱은 스미싱 공격의 초기부터 발견되기 시작하여 현재까지 꾸준하게 발견되고 있습니다. 이는 택배 스미싱이 공격자들에게 매우 효과적인 공격 방법이라는 것을 알 수 있습니다. 이렇게 악성 앱이 개인 정보를 탈취하게 되면 탈취한 개인 정보를 활용하..

악성코드 분석 리포트 2022. 5. 19. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 주 대한민국 호주 공사 및 공관차석 알렉산드라 씨들의 이력이 적힌 악성 워드파일이 유포되어 사용자들의 주의가 필요합니다. 피싱 메일 내 첨부파일을 통해 악성 매크로가 포함된 워드파일 형태로 유포된 것으로 보이며, 공격 목표는 특정인 혹은 특정 집단일 것으로 추정됩니다. 워드파일을 실행하면 워드파일을 업데이트 하라는 문구가 뜨며, [콘텐츠 사용] 버튼을 활성화 하도록 유도합니다. [콘텐츠 사용] 버튼이 기본적으로 비활성화 되어있는 것은 내부에 매크로 코드가 포함되어 있는 경우 자동으로 실행되는 것을 방지하기 위한 보호조치 입니다. 이 때문에 공격자들은 사용자로 하여금 [콘텐츠 사용] 버튼을 누르도록 유도하여 공격자가 내부에 심어놓은 매크로 ..

악성코드 분석 리포트 2022. 5. 18. 13:19