안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2022년 3월경부터 특정 기업을 사칭한 악성 피싱메일이 다량으로 유포중에 있으며 이 분석문서를 작성하는 현재까지도 변종들이 계속해서 발견되고 있습니다. 해당 악성코드는 주로 MS 워드 문서로 위장하고 있으며 사용자가 내용을 확인하기 위하여 "콘텐츠 사용" 을 선택하면 VBA 매크로가 실행되어 서버에서 암호화된 페이로드를 다운로드 받아서 악성코드를 실행합니다. 악성행위의 확인을 어렵게 하기 위하여 최종 페이로드는 여러 단계의 확인을 거쳐서 실행됩니다. 해당 악성코드는 doc의 매크로를 이용하여 악성 파일을 다운로드 한 후 시스템 정보 전송 및 명령 제어 기능과 추가 페이로드를 다운로드 합니다. 사용자의 백신 타입을 확인하여 전송하고 윈도우..

악성코드 분석 리포트 2022. 4. 25. 17:58

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 04월 10일~04월 16일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 94건이고 그중 악성은 39건으로 41.49%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 36건 대비 39건으로 3건이 증가했습니다. 일일 유입량은 하루 최저 2건(악성 2건)에서 최대 26건(악성 13건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 39건 중 Attach-Phishing형이 41.0%로 가장 많았고 뒤이어 Attach-Malware형..

악성코드 분석 리포트 2022. 4. 19. 09:30

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 업비트를 사칭하여 카카오톡 계정정보 유출을 시도하는 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다. 금일 발견된 이메일은 코인 거래소 업비트를 사칭하고 있으며, "귀하의 UPBIT 계정이 정지되었습니다."라는 제목으로 유포중에 있습니다. 하지만 이메일 내용을 보면 번역기를 돌린 것 같은 어색한 한국어로 작성되어 있어 조금만 주의 깊게 살펴보면 피싱 메일임을 확인할 수 있습니다. 만일 사용자가 실제 업비트에서 발송된 이메일로 오인하여 [계속하려면 여기를 클릭하십시오] 버튼을 누르면 실제 업비트 로그인 페이지와 매우 유사하게 제작된 피싱 페이지로 넘어가며 카카오톡 로그인을 유도합니다. 하지만, 해외 IP로 접근 시 실제 코빗 페이지로..

악성코드 분석 리포트 2022. 4. 15. 17:10

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 13일부터 이력서, 저작권 침해를 위장한 피싱 메일이 다수 유포되고 있어 사용자들의 주의가 필요합니다. 비너스락커 조직은 2017년 부터 지속적으로 국내에 랜섬웨어를 유포중인 조직으로, 유포하는 랜섬웨어의 종류는 꾸준히 변화하고 있지만, 이력서, 저작권 위반 등의 내용을 위장한 피싱 메일을 통해 유포하는 방식은 동일합니다. 지금 대량으로 유포중인 피싱 메일 역시 이력서, 저작권 침해 내용을 위장하고 있으며, 피싱 메일 내부에는 악성 파일이 첨부되어 있습니다. 첨부되어 있는 압축파일 내에는 한글, PDF 등의 파일을 위장한 랜섬웨어가 포함되어 있으며, 만일 사용자가 해당 파일을 정상파일로 오인하여 실행 시 랜섬웨어에 감염되게 됩니다. 현재 ..

악성코드 분석 리포트 2022. 4. 14. 14:40

안녕하세요. ESRC(시큐리티 대응센터)입니다. 네이버 전자문서를 위장한 피싱 메일이 지속적으로 유포중에 있어 사용자들의 각별한 주의가 필요합니다. 며칠 전부터 "[지방세입]회원님께 도착한 고지서를 확인하세요"라는 제목으로 전국(서울 외) 지방세입 고지서가 도착했어요 내용의 전자문서를 위장한 피싱 메일이 대량으로 유포중에 있습니다. 이 뿐만 아니라 "[국민지원금]대상자 여부 알림" "한국도로공사 통행료 납부 안내문"을 위장한 피싱 메일도 지속적으로 유포되고 있습니다. 만일 사용자가 피싱 메일에 있는 [확인하기] 혹은 [전자문서 홈으로] 버튼을 클릭하면 네이버 전자문서 페이지를 위장한 피싱 페이지로 이동합니다. 해당 페이지에서는 이용자 보호를 위해 본인확인을 진행한다며 계정정보를 요구하는데, 만일 사용자가..

악성코드 분석 리포트 2022. 4. 13. 15:38

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 "ALERT! I'm hacked you and stolen you information" 제목으로 혹스(Hoax)메일이 유포중에 있어 사용자들의 주의가 필요합니다. 이번에 발견된 혹스 메일의 내용은 다음과 같습니다. ALERT! I'm hacked you and stolen you information Hey *******@********, I have to share bad news with you. Approximately few months ago I have gained access to your devices, which you use for internet browsing. After that, I have started tracking ..

악성코드 분석 리포트 2022. 4. 12. 15:19

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 04월 03일~04월 09일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 98건이고 그중 악성은 36건으로 36.73%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 49건 대비 36건으로 13건이 감소했습니다. 일일 유입량은 하루 최저 4건(악성 2건)에서 최대 22건(악성 9건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 36건 중 Attach-Malware형이 50.0%로 가장 많았고 뒤이어 Attach-Phishing형..

악성코드 분석 리포트 2022. 4. 12. 09:30

안녕하세요. ESRC(시큐리티 대응센터)입니다. ESRC에서는 얼마 전 윈도우 도움말 파일(chm)을 통해 유포되는 악성 이메일에 대해 주의를 당부한 바 있습니다. ▶ 윈도우 도움말 파일(chm)로 유포되는 악성 이메일 주의!! 그리고, 최근 다른 형태의 .chm공격이 확인되어 사용자들의 주의가 필요합니다. 이번에 발견된 악성 .chm 파일은 메타콩즈 민팅의 내용을 위장하고 있습니다. 메타콩즈는 클레이튼기반의 3D NFT 프로젝트로 NFT투자에 관심이 많은 사람들의 주목을 끌고 있는 프로젝트이기도 합니다. 사용자가 .chm 파일 실행 시 다음과 같은 화면을 보여주어 사용자들에게 정상적인 파일처럼 보이도록 위장하였습니다. 하지만, 백그라운드에서는 내부에 포함된 .exe 파일을 실행합니다. 기존에 대량으로 ..

악성코드 분석 리포트 2022. 4. 11. 13:42