안녕하세요. ESRC(시큐리티 대응센터)입니다. 곧 다가오는 블랙프라이데이를 맞이하여 해외 직구족들을 노리는 피싱메일이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 피싱 메일은 DHL을 위장하고 있습니다. 피싱 메일은 전자운송장을 작성하라는 내용과 함께 수신자 이메일 계정 ID_Shipping Doc 이름의 html 파일이 첨부되어 있습니다. 사용자가 만일 첨부되어 있는 html 파일을 실행하면, 다음과 같이 이메일 계정 비밀번호 입력을 요구하는 페이지가 뜹니다. 사용자가 비밀번호를 입력하면 입력한 계정정보는 공격자의 서버로 전송되며, 특정 페이지로 리디렉션 됩니다. C&C 정보 hxxps://submit-form.com/J40spmPR 블랙프라이데이를 맞이하여 해외 구매를 하는 사용자들이 증가..

악성코드 분석 리포트 2021. 11. 18. 15:39

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 ‘Spyware.CryptBot’(이하 ‘CryptBot’) 정보 탈취 악성코드가 가짜 소프트웨어 사이트 등을 통해 유포되고 있는 것으로 알려져 있습니다. 이 악성코드에 감염이 되는 경우, 정보 탈취 및 클립보드를 공격자 지갑 주소로 변경하는 추가 페이로드 다운로드 기능을 수행하게 되어 금전적으로 상당한 피해가 발생할 수 있습니다. ‘CryptBot’는 감염PC 정보, 웹 브라우저 크리덴셜, 암호화폐 애플리케이션 정보를 탈취하여 C&C 전송, 추가 페이로드 다운로드 기능을 수행합니다. 그리고 다운로드되어 실행되는 ‘ClipBanker’는 사용자의 클립보드에 암호화폐 지갑 문자열이 존재하는 경우, 이를 공격자 지갑으로 변조하는 기능을 ..

악성코드 분석 리포트 2021. 11. 18. 09:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 피싱메일을 통해 유포중인 Emotet 악성코드가 확인되어 사용자들의 주의가 필요합니다. 올해 초 Europol과 Eurojust가 협력하여 Emotet 인프라를 압수하고 관련자 2명을 체포하였습니다. 또한 4월 25일 Emotet에 감염된 디바이스에서 해당 악성코드를 제거하는 모듈을 제공하기도 했습니다. 그러나 최근, Emotet 악성코드가 또 다시 활동을 시작하였습니다. ▶ Emotet 악성코드, TrickBot을 통해 봇넷 재구축 하도록 돌아와 이번에 ESRC에서 발견한 Emotet은 기존과 같이 피싱메일을 통해 유포되고 있습니다. 해당 피싱메일은 공직자 통합메일(@korea.kr) 사용자에게 전염병대비혁신연합(CEPI)을 위장하여 발송되었습니다. 이메..

악성코드 분석 리포트 2021. 11. 17. 15:53

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 10월 31일~11월 06일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 163건이고 그중 악성은 54건으로 33.13%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 51건 대비 54건으로 3건이 증가했습니다. 일일 유입량은 하루 최저 3건(악성 1건)에서 최대 39건(악성 12건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 54건 중 Attach-Malware형이 46.3%로 가장 많았고 뒤이어 Attach-Phishing..

악성코드 분석 리포트 2021. 11. 16. 09:30

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 국내 백신접종률이 78%를 넘어서고 이미 접종을 마친 국민들을 대상으로 부스터샷도 진행되고 있습니다. 이러한 분위기를 악용하여, 국민비서를 사칭한 피싱 메일이 유포되고 있어 사용자들의 각별한 주의가 필요합니다. 국민비서를 사칭한 피싱 메일에 대해 ESRC에서는 이미 주의를 권고한 바 있습니다. ▶ 지속적으로 유포되고 있는 네이버 고객센터 사칭 피싱 메일 주의! (21.10.07) 이번에 발견된 국민비서 사칭 피싱메일 역시 기존에 유포되던 이메일과 동일합니다. 다만, 많은 국민들이 1차 백신접종이 완료된 점을 고려하여 피싱메일 내용을 2차예약확인 안내라고 변경하여 유포중입니다. 확인하기를 누르면, 실제 네이버 로그인 페이지처럼 위장한 피싱 페이지로 이동..

악성코드 분석 리포트 2021. 11. 15. 15:39

안녕하세요. ESRC(시큐리티 대응센터)입니다. 11일, 평양 과학기술대학 총장을 사칭한 北 연계 해킹 조직의 공격이 추가로 발견되었습니다. 이번 공격은 지난 8일 보고된 외교·안보·국방·통일분야 전문가를 겨냥한 표적 공격과 마찬가지로 ‘CVE-2021-40444‘ 취약점이 동일하게 사용된 것으로 확인되었습니다. 현재 위협 조직이 해당 취약점을 적극적으로 사용하고 있어, MS오피스 사용자들은 최신 버전으로 즉각 업데이트해야 유사 공격 피해를 사전에 예방할 수 있습니다. ESRC에서 이번 공격을 분석한 결과 악성 파일 제작자가 꾸준히 ‘POSEIDON’ 계정을 사용하고 있으며, 이미 인터넷에 공개됐던 ‘CVE-2021-40444’ 취약점의 개념 증명(PoC) 코드를 일부 재활용한 정황을 포착했습니다. 만약..

악성코드 분석 리포트 2021. 11. 11. 13:57

안녕하세요. ESRC(시큐리티 대응센터)입니다. 보험사를 사칭한 악성앱이 발견되어 사용자들의 주의가 필요합니다. 해당 악성앱은 스미싱 문자를 통해 유포됩니다. 광고)라이프플래닛 000고객님 안녕하세요. *** 플래닛입니다. 고객님께서 납부하신 84개월 형 저축보험이 만기가 되어 연락드립니다. 곧 미수령된 금액은 철회되므로 보험공사 연락 하셔서 확인하시길 바랍니다. -(84개월형)저축보험만기날짜 : 2021년 7월8일 -상담시간 : 오전 8:30시 ~ 오후 5시 (공휴일제외) -상담번호 : 02-3444-**** ※자세한 내용은 상담원으로 통해 문의 바랍니다. ※현재 신청자가 많으니 상담이 지연되는점 양해바랍니다. 무료거부080****622 사용자가 상담번호로 전화를 걸면, 상담사는 악성 앱 다운로드를 유..

악성코드 분석 리포트 2021. 11. 10. 15:08

안녕하세요. ESRC(시큐리티 대응센터)입니다. 해외 결제를 위장한 스미싱이 지속적으로 유포되고 있어 사용자들의 주의가 필요합니다. 해외결제를 위장한 스미싱은 오래전부터 유포되던 스미싱 방식으로, 유포되는 스미싱 내용은 유사하나, 그 공격방식이 꾸준히 고도화 되고 있습니다. ESRC에서도 이미 해당 스미싱과 관련하여 이미 포스팅 한 적이 있습니다. ▶ 해외 결제를 위장한 스미싱 문자 주의! (21.09.10) ▶ "해외 카드 결제가 승인되었습니다" 해외직구족 겨냥한 스미싱 공격 발견 (17.04.06) 이번에 발견된 스미싱은 다음과 같은 내용으로 유포되었습니다. [국제발신] [해외결제] 확인코드:9**8 [KRW 959,000] 결제가 완료되었습니다. 배송관련 고객센터 070-7893-**** 만일 해당..

악성코드 분석 리포트 2021. 11. 9. 16:03