안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 10월 31일~11월 06일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 163건이고 그중 악성은 54건으로 33.13%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 51건 대비 54건으로 3건이 증가했습니다. 일일 유입량은 하루 최저 3건(악성 1건)에서 최대 39건(악성 12건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 54건 중 Attach-Malware형이 46.3%로 가장 많았고 뒤이어 Attach-Phishing..

악성코드 분석 리포트 2021. 11. 16. 09:30

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 국내 백신접종률이 78%를 넘어서고 이미 접종을 마친 국민들을 대상으로 부스터샷도 진행되고 있습니다. 이러한 분위기를 악용하여, 국민비서를 사칭한 피싱 메일이 유포되고 있어 사용자들의 각별한 주의가 필요합니다. 국민비서를 사칭한 피싱 메일에 대해 ESRC에서는 이미 주의를 권고한 바 있습니다. ▶ 지속적으로 유포되고 있는 네이버 고객센터 사칭 피싱 메일 주의! (21.10.07) 이번에 발견된 국민비서 사칭 피싱메일 역시 기존에 유포되던 이메일과 동일합니다. 다만, 많은 국민들이 1차 백신접종이 완료된 점을 고려하여 피싱메일 내용을 2차예약확인 안내라고 변경하여 유포중입니다. 확인하기를 누르면, 실제 네이버 로그인 페이지처럼 위장한 피싱 페이지로 이동..

악성코드 분석 리포트 2021. 11. 15. 15:39

안녕하세요. ESRC(시큐리티 대응센터)입니다. 11일, 평양 과학기술대학 총장을 사칭한 北 연계 해킹 조직의 공격이 추가로 발견되었습니다. 이번 공격은 지난 8일 보고된 외교·안보·국방·통일분야 전문가를 겨냥한 표적 공격과 마찬가지로 ‘CVE-2021-40444‘ 취약점이 동일하게 사용된 것으로 확인되었습니다. 현재 위협 조직이 해당 취약점을 적극적으로 사용하고 있어, MS오피스 사용자들은 최신 버전으로 즉각 업데이트해야 유사 공격 피해를 사전에 예방할 수 있습니다. ESRC에서 이번 공격을 분석한 결과 악성 파일 제작자가 꾸준히 ‘POSEIDON’ 계정을 사용하고 있으며, 이미 인터넷에 공개됐던 ‘CVE-2021-40444’ 취약점의 개념 증명(PoC) 코드를 일부 재활용한 정황을 포착했습니다. 만약..

악성코드 분석 리포트 2021. 11. 11. 13:57

안녕하세요. ESRC(시큐리티 대응센터)입니다. 보험사를 사칭한 악성앱이 발견되어 사용자들의 주의가 필요합니다. 해당 악성앱은 스미싱 문자를 통해 유포됩니다. 광고)라이프플래닛 000고객님 안녕하세요. *** 플래닛입니다. 고객님께서 납부하신 84개월 형 저축보험이 만기가 되어 연락드립니다. 곧 미수령된 금액은 철회되므로 보험공사 연락 하셔서 확인하시길 바랍니다. -(84개월형)저축보험만기날짜 : 2021년 7월8일 -상담시간 : 오전 8:30시 ~ 오후 5시 (공휴일제외) -상담번호 : 02-3444-**** ※자세한 내용은 상담원으로 통해 문의 바랍니다. ※현재 신청자가 많으니 상담이 지연되는점 양해바랍니다. 무료거부080****622 사용자가 상담번호로 전화를 걸면, 상담사는 악성 앱 다운로드를 유..

악성코드 분석 리포트 2021. 11. 10. 15:08

안녕하세요. ESRC(시큐리티 대응센터)입니다. 해외 결제를 위장한 스미싱이 지속적으로 유포되고 있어 사용자들의 주의가 필요합니다. 해외결제를 위장한 스미싱은 오래전부터 유포되던 스미싱 방식으로, 유포되는 스미싱 내용은 유사하나, 그 공격방식이 꾸준히 고도화 되고 있습니다. ESRC에서도 이미 해당 스미싱과 관련하여 이미 포스팅 한 적이 있습니다. ▶ 해외 결제를 위장한 스미싱 문자 주의! (21.09.10) ▶ "해외 카드 결제가 승인되었습니다" 해외직구족 겨냥한 스미싱 공격 발견 (17.04.06) 이번에 발견된 스미싱은 다음과 같은 내용으로 유포되었습니다. [국제발신] [해외결제] 확인코드:9**8 [KRW 959,000] 결제가 완료되었습니다. 배송관련 고객센터 070-7893-**** 만일 해당..

악성코드 분석 리포트 2021. 11. 9. 16:03

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 한국의 싱크탱크 워크샵 행사 내용처럼 위장한 새로운 사이버 위협 활동이 포착되어 사용자들의 각별한 주의가 필요합니다. 이번 공격은 지난 주에 수행된 것으로 확인됐는데, 실존하는 특정 학술원의 안보전략 심층 토론 내용처럼 위장했습니다. 공격자는 전형적인 이메일 기반 스피어 피싱(Spear Phishing) 공격 기법을 구사했으며, 마치 오는 11월 23일 진행되는 행사용 워드(DOCX) 문서 파일처럼 수신자를 현혹하였으며, 첨부되어 있는 파일 내부에는 MSHTML 원격 코드 실행 취약성(CVE-2021-40444)이 포함되어 있습니다. 만약 CVE-2021-40444 취약점이 작동될 경우 공격자는 액티브X 컨트롤을 통해 추가 악성파일을 대상자 시스템에 ..

악성코드 분석 리포트 2021. 11. 9. 11:31

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 10월 31일~11월 06일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 163건이고 그중 악성은 54건으로 33.13%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 51건 대비 54건으로 3건이 증가했습니다. 일일 유입량은 하루 최저 3건(악성 1건)에서 최대 39건(악성 12건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 54건 중 Attach-Malware형이 46.3%로 가장 많았고 뒤이어 Attach-Phishing..

악성코드 분석 리포트 2021. 11. 8. 14:48

안녕하세요. ESRC(시큐리티 대응센터)입니다. 접속 시 자동으로 파일이 다운로드 되는 도박사이트가 발견되어 사용자들의 주의가 필요합니다. 해당 홈페이지들은 사행성 도박게임을 할 수 있는 홈페이지로, 다수의 홈페이지에서 동일한 파일이 내려오는 것이 확인되었습니다. 해당 파일은 iframe으로 페이지 내 삽입되어 있으며, 자동으로 내려온 vcredist_2010.exe 파일을 실행하면 추가로 RuntimeBroker.exe 파일을 C:\Windows\SysWOW64폴더 하위에 저장하고 자동으로 실행합니다. 자동으로 실행 된 RuntimeBroker.exe 파일은 컴퓨터 명, IP, MAC주소, 현재 상태 등을 포함하여 서버에 주기적으로 전송합니다. 또한 추가로 파일 다운로드를 시도하나 공격자의 서버 문제로..

악성코드 분석 리포트 2021. 11. 2. 16:07