안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 지난해 말 새로운 Rook 랜섬웨어가 발견되었습니다. 해당 랜섬웨어는 지난해 4월 워싱턴 DC 경찰서를 침투해 파일 암호화 공격을 시행한 바북 락커(Babuk Locker) 코드와 유사합니다. Rook 데이터 유출 사이트에는 현재 두 명의 피해자로 한 은행과 인도 항공이 게시되어 있고 앞으로 기업 네트워크를 침해하고 장치를 암호화 해 많은 돈을 벌 것이라고 밝히고 있습니다. Rook 랜섬웨어는 사용자 PC의 데이터를 암호화하여 금전을 요구하는 악성코드입니다. Babuk 랜섬웨어 코드와 유사하나 ADS 사용, 암호화 로직에 차이가 있고 32비트 간격으로 암호화 한다는 특징이 있습니다. 또한 로컬 드라이브와 네트워크 드라이브로 연결된 모든 파..

악성코드 분석 리포트 2022. 1. 20. 09:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 "Don't forget to pay the tax within 2 days!" 제목으로 혹스(Hoax)메일이 유포중에 있어 사용자들의 주의가 필요합니다. 이번 혹스메일은 영문으로 발송되었으며, 내용은 다음과 같습니다. Hi. How are you? I know, it's unpleasant to start the conversation with bad news, but I have n= choice. Few months ago, I have gained access to your devices that used by you for int=rnet browsing. Afterwards, I could track down all your internet..

악성코드 분석 리포트 2022. 1. 18. 14:48

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 01월 09일~01월 15일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 115건이고 그중 악성은 50건으로 43.48%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 8건 대비 50건으로 42건이 증가했습니다. 일일 유입량은 하루 최저 2건(악성 5건)에서 최대 28건(악성 21건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 50건 중 Attach-Phishing형이 48.0%로 가장 많았고 뒤이어 Attach-Malware..

악성코드 분석 리포트 2022. 1. 18. 09:30

안녕하세요. ESRC(시큐리티 대응센터)입니다. 1월 11일, 국내 신용카드사의 요금 명세서를 위장한 악성 메일이 발견되었습니다. 해당 피싱메일은 실제 메일과 매우 흡사하여 사용자가 쉽게 속을 가능성이 있습니다. 이러한 이메일은 카드사 뿐만 아니라 시중 은행을 사칭하여 유포되기도 합니다. 이번 공격은 특정 대북 분야 종사자를 겨냥해 진행되었으며, 사전에 수집한 여러 주변 정보를 활용해 생활 밀착형 표적 공격을 수행한 것으로 확인되었습니다. 공격에 사용된 이메일을 살펴보면 마치 html 기반의 명세서 파일이 있는 것처럼 보이지만, 실제 첨부된 파일은 존재하지 않고, 해당 영역 클릭 시 악성 피싱 사이트로 연결됩니다. 만일, 해당 피싱 사이트에서 계정 정보 입력한다면, 입력한 계정정보는 공격자의 서버로 전송..

악성코드 분석 리포트 2022. 1. 13. 10:36

안녕하세요. ESRC(시큐리티 대응센터)입니다. 해외 직구 쇼핑몰을 위장한 피싱 앱이 지속적으로 유포중에 있어 사용자들의 주의가 필요합니다. 해당 앱은 스미싱 문자를 통해 유포되는 것으로 추정되며, 이미 ESRC에서도 관련하여 포스팅 한 적이 있습니다. ▶ 해외결제를 위장한 스미싱 지속적 유포중! 이번에 발견된 앱들은 세계직구, 대성물류, LF몰 등 해외 직구앱을 위장하고 있습니다. 기존과 동일하게 모든 메뉴를 클릭하여도 로그인 페이지로 이동시켜 사용자로 하여금 계정 입력을 유도하며, 계정정보 입력 시 입력한 정보들은 공격자의 서버로 전송됩니다. 이전의 앱들과 달라진 점은, C2 방식이 기존의 Github에서 레딧 사이트로 변경되었으며, 레딧 사이트에서 공격자가 설정해 놓은 문자열을 파싱받아 오며, 문자..

악성코드 분석 리포트 2022. 1. 12. 13:51

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 01월 02일~01월 08일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 76건이고 그중 악성은 8건으로 10.53%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 9건 대비 8건으로 1건이 감소했습니다. 일일 유입량은 하루 최저 3건(악성 1건)에서 최대 26건(악성 5건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 8건 중 Link-Malware형이 50.0%로 가장 많았고 뒤이어 Attach-Malware형이 25.0%를..

악성코드 분석 리포트 2022. 1. 11. 09:30

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 10일, 입사지원서를 위장한 피싱 메일을 통해 Makop 랜섬웨어가 대량으로 유포중에 있어 사용자들의 주의가 필요합니다. 피싱 메일에는 "입사지원서_220109(경력사항도 같이 기재하였습니다 잘부탁드립니다)"라는 파일명을 가진 .exe 파일이 첨부되어 있습니다. 해당 .exe 파일은 한글 파일 아이콘을 위장하고 있습니다. 사용자가 해당 파일을 정상 파일로 오인하여 실행하면 Makop 랜섬웨어 실행됩니다. 해당 샘플은 분석을 어렵게 하기 위하여 NSIS(Nullsoft Scriptable Install System)를 사용하였으며, 라이브러리와 소스를 특정 폴더에 드롭하고, 필요한 함수들을 메모리에 로딩하고 스스로 프로세스를 생성해 자신에게..

악성코드 분석 리포트 2022. 1. 10. 16:56

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 카카오 선물하기를 위장한 피싱메일을 통하여 카카오톡 친구추가를 유도하여 계정정보 유출을 시도하는 공격이 지속적으로 발생하고 있어 사용자들의 각별한 주의가 필요합니다. 카카오 선물하기를 위장한 피싱 메일은 다음과 같습니다. '주문이 완료되었습니다', '결제 안내' 등의 메일 제목으로 유포되며, 이메일에는 선물하기로 특정 상품이 결제되었으며 본인이 주문하지 않았다면 카카오톡 친구추가 후 문의를 하라며 이메일 내에 포함되어 있는 아이디로 친구추가를 유도합니다. 만일 사용자가 해당 피싱메일을 실제 카카오가 보낸 것으로 오인하여 친구추가 후 문의를 한다면, 직접 주문한게 아니라면 카카오계정 도용/해킹으로 인한 사기 피해가 우려되니 카카오 고객센터에..

악성코드 분석 리포트 2022. 1. 10. 14:19