안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 02월 27일~03월 05일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 268건이고 그중 악성은 190건으로 70.9%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 52건 대비 190건으로 138건이 증가했습니다. 일일 유입량은 하루 최저 13건(악성 3건)에서 최대 71건(악성 54건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 190건 중 Attach-Malware형이 50.0%로 가장 많았고 뒤이어 Attach-Phi..

악성코드 분석 리포트 2022. 3. 8. 09:30

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 3일부터 한국도로공사 통행료 납부를 위장한 피싱 메일이 대량으로 유포되고 있어 사용자들의 주의가 필요합니다. 해당 피싱 메일은 '회원님께 도착한 새 전자문서를 확인하세요'라는 제목으로 유포중이며 해당 메일을 클릭하면 마치 한국도로공사에서 보낸 메일처럼 위장하고 있습니다. 만일 사용자가 전자문서 홈으로 버튼을 클릭하면 네이버를 위장한 피싱 페이지로 연결되며 사용자에게 로그인을 유도합니다. 만일 사용자가 해당 페이지를 실제 네이버 페이지로 오인하여 계정정보를 입력한다면, 입력한 계정정보는 공격자에게 넘어가게 됩니다. 이렇게 유출된 계정정보는 동일한 아이디, 비밀번호를 사용하는 다른 웹사이트 및 금융페이지를 통해 2차, 3차 피해를 입을수도 있..

악성코드 분석 리포트 2022. 3. 7. 15:13

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 국내에서 병·의료원 증명서 발급처럼 위장한 北 연계 해킹 공격이 등장했다며, 각별한 주의와 대비가 요구됩니다. 이번 공격은 마치 건강 검진 결과 인터넷 조회 및 발급 서비스로 교묘히 위장해 악성 파일을 유포했으며, 실제 국내 병원 및 의료기관 증명서 발급에 필요한 정상 플러그인 프로그램을 함께 결합해 신뢰 기반 속임수를 사용한 것이 특징입니다. 따라서 해당 프로그램이 설치될 경우 정상적인 병원 증명서 발급 진행이 가능하지만, 동시에 예기치 못한 사이버 보안 위협에 노출되게 됩니다. 분석결과, 악성 파일은 지난 2월 25일 만들어졌으며, 실제 공격이 진행된 시기는 3월이며, 윈도(Windows) 64비트 기반으로 개발됐습니다. 해당 파일 내..

악성코드 분석 리포트 2022. 3. 4. 13:36

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 저작권 침해 관련 메일을 통해 악성코드가 유포되고 있어 사용자들의 주의가 필요합니다. 이메일은 '저작권 침해 관련 안내(제자 제작자 입니다)'라는 제목으로 유포되고 있으며, 보안 프로그램을 우회하기 위하여 비밀번호가 설정 된 압축파일이 첨부되어 있습니다. 압축 파일 내에는 한글 아이콘을 위장한 실행파일과 이미지 파일이 포함되어 있습니다. 다만, 현재 이메일을 통해 유포되고 있는 파일들 중 일부에서 오류가 발생하여 제작자가 의도한 대로 동작을 하지 않고 있습니다. 이에 사용자가 해당 파일을 실행하여도 사용자 PC가 감염되지 않습니다. 만일 오류가 없는 파일을 사용자가 실행하면, LockBit 랜섬웨어가 실행되며 사용자 PC가 감염되며, 분석..

악성코드 분석 리포트 2022. 2. 25. 15:24

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 국내 외교 안보 국방분야 교수 및 민간분야 전문가를 겨냥한 북한 배후 소행의 해킹 공격 시도가 연일 포착되고 있어 사용자들의 각별한 주의가 필요합니다. 이번에 발견된 공격은 2월 21일 시도된 공격으로, 마치 한국의 군사연구 및 동북아 평화 협회처럼 위장해 해당 분야 종사자들에게 ‘[붙임] 프로필 양식.doc’ 이름의 악성 MS Word DOC 문서를 전달하였습니다. 이번 공격은 이메일로 보내는 전형적인 스피어 피싱(Spear Phishing) 수법이 사용됐으며, 보안 솔루션의 행위 분석이나 기존에 알려진 패턴 탐지를 최대한 회피하기 위해 악성 DOC 문서에 별도의 암호를 설정하고, 수신자만 열어볼 수 있도록 이메일로 전달하였습니다. 실제..

악성코드 분석 리포트 2022. 2. 23. 11:19

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 매그니베르 랜섬웨어가 과거 appx로 유포하는 방식에서 msi인자로 다시 유포중인 정황이 포착되어 사용자들의 주의가 필요합니다. 매그니베르 랜섬웨어는 사용자가 도메인 주소를 입력하다가 잘못 입력하거나 철자가 틀리는 타이포스쿼팅 방식을 이용하여 유포중입니다. 크롬 및 엣지 브라우저 사용자가 잘못된 도메인 주소를 입력하면, 다른 페이지로 리디렉션 시켜 최종 msi 파일을 내려줍니다 . 다만 ip체크를 통해 최초 1회만 다운로드 페이지에 접속되며, 또 다시 동일한 페이지에 접속 시 광고 페이지로 이동합니다. 특정 페이지에 접속하려는 사용자가 url을 잘못 입력하였을 때를 노린 것으로 추정되며, 'Critical.Update.Win10.0-kb8..

악성코드 분석 리포트 2022. 2. 23. 10:27

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 02월 13일~02월 19일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 77건이고 그중 악성은 26건으로 33.77%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 55건 대비 26건으로 29건이 감소했습니다. 일일 유입량은 하루 최저 5건(악성 1건)에서 최대 16건(악성 8건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 26건 중 Attach-Malware형이 38.5%로 가장 많았고 뒤이어 Link-Malware형이 3..

악성코드 분석 리포트 2022. 2. 22. 09:30

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 LockBit 랜섬웨어를 유포하였던 비너스락커 조직이 다시 Makop 랜섬웨어를 유포하고 있어 사용자들의 주의가 필요합니다. Makop 랜섬웨어는 금일 12시경부터 '이미지 원본(제가 제작한 이미지)과 사용하고 있으신 이미지 정리한 내용' 파일명으로 대량 유포중에 있습니다. 악성파일은 PDF 아이콘을 위장하여 사용자들의 클릭을 유도합니다. 랜섬웨어가 실행된 후에는, 사용자로 하여금 복구를 할 수 없도록 볼륨 섀도복사본과 시스템 백업까지 삭제합니다. 이후 사용자 파일에 대해 암호화를 진행 후 '기존 파일명.[CD59D479].[].mkp'으로 변경하고, +README-WARNING+.txt 랜섬노트를 띄우며 tox chat을 통해 연락..

악성코드 분석 리포트 2022. 2. 21. 15:04