안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 LockBit 랜섬웨어를 유포하였던 비너스락커 조직이 다시 Makop 랜섬웨어를 유포하고 있어 사용자들의 주의가 필요합니다. Makop 랜섬웨어는 금일 12시경부터 '이미지 원본(제가 제작한 이미지)과 사용하고 있으신 이미지 정리한 내용' 파일명으로 대량 유포중에 있습니다. 악성파일은 PDF 아이콘을 위장하여 사용자들의 클릭을 유도합니다. 랜섬웨어가 실행된 후에는, 사용자로 하여금 복구를 할 수 없도록 볼륨 섀도복사본과 시스템 백업까지 삭제합니다. 이후 사용자 파일에 대해 암호화를 진행 후 '기존 파일명.[CD59D479].[].mkp'으로 변경하고, +README-WARNING+.txt 랜섬노트를 띄우며 tox chat을 통해 연락..

악성코드 분석 리포트 2022. 2. 21. 15:04

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 스미싱 문자를 통한 피해사례는 지속해서 증가하고 있고 악성 앱을 만드는 제작자 또한, 날이 갈수록 정교함과 동시에 교묘해지고 있습니다. 이들은 사용자에 악성 앱을 설치하게끔 유도하여 정보를 훔치거나 추후 전화 금융사기에 활용되는 목적을 가지고 있습니다. “[서울지방경찰청] 전화금융사기 및 해킹 예방프로그램 (설치 완료 후 위험한 앱 감지 클릭)” 문구와 함께 링크를 첨부하거나 소액 결제가 완료되었다는 문자와 함께 링크를 첨부하여 클릭을 유도합니다. 클릭 시 금융기관과 공기관으로 사칭하여 속이는 앱들이 줄곧 설치되었는데 재작년(2020) 법무부의 이름으로 공식 앱처럼 위장한 악성 앱이 등장하였습니다. 해당 앱은 실제 운영중인 웹 페이지를 직..

악성코드 분석 리포트 2022. 2. 18. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 1월 역시 작년 12월과 마찬가지로 택배 스미싱이 공격을 주도하고 있습니다. 택배를 키워드로 하는 스미싱 공격은 79.47%로 여전히 대다수의 공격이 택배를 키워드로 하고 있으나 12월 대비 8.72% 정도 감소했습니다. 이는 건강검진을 키워드로 하는 스미싱 공격이 18.54%로 12월 대비 17.96% 증가한 것의 영향으로 판단됩니다. 마지막으로 금융기관을 사칭하는 스미싱 공격이 1.99%로 12월 대비 7.6% 감소했습니다. 위의 통계를 통해 택배 스미싱은 여전히 공격자들이 선호하는 키워드 임을 알 수 있습니다. 그러나 공격자들은 코로나가 연일 확산세를 이어가고 있는 현 상황을 고려한 듯 건강검진 키워드 스미싱 공격을 증가시키고 있습니..

악성코드 분석 리포트 2022. 2. 17. 17:05

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 지난 2017년 Cerber 랜섬웨어의 후속작으로 등장한 매그니베르(Magniber) 랜섬웨어는 다양한 변종으로 유포해 오고 있다. 초기에는 한국 사용자만 감염되었지만 이후, 대상 범위를 확장해 중국, 대만, 홍콩, 싱가포르, 말레이시아 내 시스템 또한 감염시키기 시작했습니다. 과거 매그니베르 랜섬웨어는 파일리스(fileless) 형태, PrintNightmare 취약점, 인터넷 익스플로러 취약점을 악용하여 시스템을 침해하고 랜섬웨어를 배포해 왔습니다. 최근 매그니베르 랜섬웨어는 기존 인터넷 익스플로러 감염 방식과 다른 감염 방식으로Edge, Chrome 브라우저를 이용하여 윈도우 앱(.Appx) 파일 설치를 유도를 통해 유포되고 있습니다..

악성코드 분석 리포트 2022. 2. 17. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 Klip 고객센터를 위장한 악성 파일이 발견되어 사용자들의 각별한 주의가 필요합니다. Klip은 카카오의 블록체인 관련 자회사인 그라운드 X가 개발한 디지털 자산 지갑 서비스로, 이번에 발견된 파일은 '[Klip 고객센터]오전송_토큰해결_안내.doc' 파일명으로 유포되었습니다. 해당 파일에는 악성 매크로가 포함되어 있으며, 문서가 보호되었다며 사용자로 하여금 콘텐츠 사용 버튼 클릭을 유도합니다. 만일 사용자가 콘텐츠 사용 버튼을 클릭하면, 실제 Klip 고객센터에서 보낸 파일처럼 작성되어 있어 사용자로 하여금 실제 정상파일처럼 오인하게 합니다. 하지만, 해당 파일에는 매크로 코드가 포함되어 있으며, 백그라운드에서 매크로가 실행됩니다...

악성코드 분석 리포트 2022. 2. 16. 14:55

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 02월 06일~02월 12일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 126건이고 그중 악성은 55건으로 43.65%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 48건 대비 55건으로 7건이 증가했습니다. 일일 유입량은 하루 최저 1건(악성 3건)에서 최대 59건(악성 28건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 55건 중 Attach-Malware형이 45.5%로 가장 많았고 뒤이어 Attach-Phishing..

악성코드 분석 리포트 2022. 2. 15. 09:30

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 국내 유명 손해보험사를 위장한 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다. 이번에 발견된 피싱 메일은 실제 손해보험사에서 보낸것처럼 위장하고 있으며, html 파일이 첨부되어 있습니다. 첨부되어 있는 html 파일을 실행하면, password 가 적힌 페이지와 함께 하나의 압축파일이 다운로드 됩니다. 다운로드 된 압축파일 내에는 손해보험사이름을 위장한 악성 파일이 포함되어 있으며, 압축을 해제하면 pdf 아이콘을 위장한 .exe 파일을 확인할 수 있습니다. 첨부되어 있는 악성 파일은 Remcos RAT 1.7 Pro버전으로 보안프로그램을 우회하기 위해 .NET을 이용하였습니다. 내부 악성코드 모듈 내에는 버전정보가 하드코딩 되..

악성코드 분석 리포트 2022. 2. 11. 11:03

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 금일 오후부터, 입사지원서를 위장하여 LockBit 랜섬웨어가 대량으로 유포중에 있어 사용자들의 주의가 필요합니다. 피싱 메일은 입사지원서를 위장하여 유포중에 있으며, 최선을 다하겠다는 내용과 함께 비밀번호가 포함된 압축파일이 첨부되어 있습니다. 여러개의 샘플 중, '입사지원서_220209(이력사항도 같이 기재하였습니다 잘부탁드립니다).' 파일명으로 유포중인 샘플을 확인해 보았습니다. 해당 샘플은 한글 아이콘으로 위장하고 있어 사용자로 하여금 실행하도록 유도합니다. 만일, 사용자가 해당 파일을 실제 한글 파일로 오인하여 실행한다면 랜섬웨어가 실행됩니다. LockBit 랜섬웨어가 실행되면 먼저 다음 명령어들을 통하여 사용자PC의 복원 기능을..

악성코드 분석 리포트 2022. 2. 9. 15:01