안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. Trojan.JAVA.Agent.Gen (이하 ‘STRRAT’)는 지난 2020년에 공개된 Java 언어 기반의 명령 제어 악성코드이며, 최근까지 이메일 등으로 유포가 이루어지고 있는 것으로 알려져있습니다. 특징적으로 이 STRRAT는 브라우저 크리덴셜 정보 유출 등의 일반적인 RAT 기능과 더불어 ‘Crimson’이라고 불리우는 랜섬웨어 기능이 함께 포함되어 있는 점이 특징입니다. ‘STRRAT’ 악성코드는 정보 전송 및 명령 제어 기능을 수행하는 Java 기반의 RAT입니다. 특징적으로 이 악성코드는 다른 명령 제어 악성코드와 달리 랜섬웨어 기능이 탑재되어 있는 점, EXE 기반 대신 Java 파일(*.jar) 혹은 스크립트를 실행하는..

악성코드 분석 리포트 2022. 3. 21. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 통일부 남북관계 주요일지 2월호 내용처럼 위장한 北 연계 해킹 공격이 연이어 발견되고 있어 사용자들의 각별한 주의가 요구됩니다. 이번 공격은 마치 통일부에서 공식적으로 보낸 남북관계 주요일지처럼 교묘하게 위장하고 있으며, 대북분야전문가나 종사자의 이메일 계정정보 탈취를 목적으로 하고 있습니다. 실제 통일부 관련 화면 디자인을 일부 모방해 정상적인 내용처럼 꾸몄고, 본문 하단 부분에 ‘남북관계_주요일지(2022년 2월).hwp’ 파일을 첨부한 것처럼 속여 사용한 것이 특징입니다. ESRC 분석 결과, 이러한 수법은 이미 지난 2020년부터 작년까지 유사 사례가 다수 포착된 바 있으며, 주로 통일부의 북한동향이나 통일연구원의 한반도 정세전망 ..

악성코드 분석 리포트 2022. 3. 18. 09:15

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 03월 06일~03월 12일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 137건이고 그중 악성은 70건으로 51.09%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 190건 대비 70건으로 120건이 감소했습니다. 일일 유입량은 하루 최저 5건(악성 3건)에서 최대 35건(악성 34건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 70건 중 Attach-Phishing형이 54.3%로 가장 많았고 뒤이어 Attach-Malw..

악성코드 분석 리포트 2022. 3. 15. 19:10

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 02월 27일~03월 05일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 268건이고 그중 악성은 190건으로 70.9%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 52건 대비 190건으로 138건이 증가했습니다. 일일 유입량은 하루 최저 13건(악성 3건)에서 최대 71건(악성 54건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 190건 중 Attach-Malware형이 50.0%로 가장 많았고 뒤이어 Attach-Phi..

악성코드 분석 리포트 2022. 3. 8. 09:30

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 3일부터 한국도로공사 통행료 납부를 위장한 피싱 메일이 대량으로 유포되고 있어 사용자들의 주의가 필요합니다. 해당 피싱 메일은 '회원님께 도착한 새 전자문서를 확인하세요'라는 제목으로 유포중이며 해당 메일을 클릭하면 마치 한국도로공사에서 보낸 메일처럼 위장하고 있습니다. 만일 사용자가 전자문서 홈으로 버튼을 클릭하면 네이버를 위장한 피싱 페이지로 연결되며 사용자에게 로그인을 유도합니다. 만일 사용자가 해당 페이지를 실제 네이버 페이지로 오인하여 계정정보를 입력한다면, 입력한 계정정보는 공격자에게 넘어가게 됩니다. 이렇게 유출된 계정정보는 동일한 아이디, 비밀번호를 사용하는 다른 웹사이트 및 금융페이지를 통해 2차, 3차 피해를 입을수도 있..

악성코드 분석 리포트 2022. 3. 7. 15:13

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 국내에서 병·의료원 증명서 발급처럼 위장한 北 연계 해킹 공격이 등장했다며, 각별한 주의와 대비가 요구됩니다. 이번 공격은 마치 건강 검진 결과 인터넷 조회 및 발급 서비스로 교묘히 위장해 악성 파일을 유포했으며, 실제 국내 병원 및 의료기관 증명서 발급에 필요한 정상 플러그인 프로그램을 함께 결합해 신뢰 기반 속임수를 사용한 것이 특징입니다. 따라서 해당 프로그램이 설치될 경우 정상적인 병원 증명서 발급 진행이 가능하지만, 동시에 예기치 못한 사이버 보안 위협에 노출되게 됩니다. 분석결과, 악성 파일은 지난 2월 25일 만들어졌으며, 실제 공격이 진행된 시기는 3월이며, 윈도(Windows) 64비트 기반으로 개발됐습니다. 해당 파일 내..

악성코드 분석 리포트 2022. 3. 4. 13:36

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 저작권 침해 관련 메일을 통해 악성코드가 유포되고 있어 사용자들의 주의가 필요합니다. 이메일은 '저작권 침해 관련 안내(제자 제작자 입니다)'라는 제목으로 유포되고 있으며, 보안 프로그램을 우회하기 위하여 비밀번호가 설정 된 압축파일이 첨부되어 있습니다. 압축 파일 내에는 한글 아이콘을 위장한 실행파일과 이미지 파일이 포함되어 있습니다. 다만, 현재 이메일을 통해 유포되고 있는 파일들 중 일부에서 오류가 발생하여 제작자가 의도한 대로 동작을 하지 않고 있습니다. 이에 사용자가 해당 파일을 실행하여도 사용자 PC가 감염되지 않습니다. 만일 오류가 없는 파일을 사용자가 실행하면, LockBit 랜섬웨어가 실행되며 사용자 PC가 감염되며, 분석..

악성코드 분석 리포트 2022. 2. 25. 15:24

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 국내 외교 안보 국방분야 교수 및 민간분야 전문가를 겨냥한 북한 배후 소행의 해킹 공격 시도가 연일 포착되고 있어 사용자들의 각별한 주의가 필요합니다. 이번에 발견된 공격은 2월 21일 시도된 공격으로, 마치 한국의 군사연구 및 동북아 평화 협회처럼 위장해 해당 분야 종사자들에게 ‘[붙임] 프로필 양식.doc’ 이름의 악성 MS Word DOC 문서를 전달하였습니다. 이번 공격은 이메일로 보내는 전형적인 스피어 피싱(Spear Phishing) 수법이 사용됐으며, 보안 솔루션의 행위 분석이나 기존에 알려진 패턴 탐지를 최대한 회피하기 위해 악성 DOC 문서에 별도의 암호를 설정하고, 수신자만 열어볼 수 있도록 이메일로 전달하였습니다. 실제..

악성코드 분석 리포트 2022. 2. 23. 11:19