안녕하세요. ESRC(시큐리티 대응센터)입니다. 카카오톡 고객센터를 사칭한 피싱 메일이 유포중에 있어 사용자들의 주의가 필요합니다. 피싱 메일은 '[kakao] 비정상적인 로그인시도'라는 제목으로 유포중입니다. 비정상적인 로그인 시도가 감지되었으며, 만약 본인이 로그인을 시도한 것이 아니라면 카카오톡 검색창에 '보호조치 센터'를 검색하여 상담하라는 내용이 포함되어 있습니다. 피싱메일 내에는 첨부파일이나 링크가 포함되어 있지 않으며, 대신 하단에 카카오톡 검색창에 "보호조치 센터"를 검색하라고 친절히 안내해 줍니다. 실제로 카카오톡 검색창에 "보호조치 센터"라고 검색하면 채널이 뜹니다. 채널 프로필 사진은 kakao로 설정하여 실제 카카오톡 공식 채널처럼 위장하였지만, 친구가 매우 적어 사용자들이 쉽게 가..

악성코드 분석 리포트 2021. 9. 15. 08:48

안녕하세요. ESRC(시큐리티 대응센터)입니다. 비너스락커 조직이 이력서를 위장하여 Makop랜섬웨어를 지속적으로 유포하고 있으며, 다만 랜섬웨어를 첨부하는 형태가 조금씩 바뀌고 있습니다. 이번에 발견된 악성 메일 역시 이력서를 위장하고 있습니다. 얼마 전 ESRC에서 포스팅 한 비너스락커 조직 관련 포스팅 역시 이력서를 위장하고 있었습니다. 당시 악성 메일에 첨부되어 있는 압축 파일 내에는, 한글 파일로 위장한 Makop 랜섬웨어가 포함되어 있어 사용자들의 클릭을 유도하였습니다. 이번에 발견된 악성 메일 내에도 역시 첨부파일이 포함되어 있습니다. 다만, 이번에는 압축파일을 또 한번 압축한 이중압축 방식을 이용하여 보안시스템을 우회하고자 하였습니다. zip 파일 안에 있는 alz 파일 내에는 이력서를 위..

악성코드 분석 리포트 2021. 9. 14. 16:28

안녕하세요. ESRC(시큐리티 대응센터)입니다. 수신된 이메일에서 바이러스 활동이 감시되어 이메일 검사를 진행하라는 내용의 피싱 공격이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 "계정 보안 [이메일주소]” 라는 제목이 사용되었으며, 사용 중인 이메일 계정에서 바이러스 활동이 감지되어 계정 안전을 위해 본문에 표기된 링크를 클릭하여 이메일 검사를 유도하고 있습니다. 특히 발신자 주소가 한국 사이버결제사에서 보낸 것처럼 위장하여 사용자의 의심을 피하려 했습니다. 사용자가 이메일 바이러스 검사를 위해 본문에 기재 된 스캐닝 주소를 클릭하면 로그인 계정과 패스워드를 탈취하는 피싱 사이트로 이동하게 됩니다. 피싱사이트에 접속되면 사용자의 이메일이 감염되었다는 문구가 표시되며, 정상적인 바이러스..

악성코드 분석 리포트 2021. 9. 13. 15:34

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 피싱 메일을 통해 꾸준히 유포되고 있는 Lokibot이 피싱 메일의 형태를 변경하여 유포중에 있습니다. 이번에 발견된 피싱 메일은 물품공급계약서를 위장하고 있으며 2개 파일이 첨부되어 있습니다. 이메일 내용은 거래를 위하여 물품공급계약서를 받고 있다며, 첨부되어있는 '물품공급계약서' 파일명의 한글 파일을 실행하도록 유도합니다. 또한 직인 찍는 메뉴얼이라면서 '계약서 직인 찍는 위치.7z' 압축파일을 실행하도록 유도합니다. 한글 파일은 정상 파일로, 내부에는 일반적인 계약서 내용이 작성되어 있습니다. 압축파일 내에는 정상파일을 위장한 .exe 파일이 포함되어 있으며, 만약 사용자가 해당 파일의 압축을 해제한 후 클릭하면 Lokibot 악성코..

악성코드 분석 리포트 2021. 9. 13. 15:05

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 사회공학적 기법을 이용하여 해외 결제를 위장한 스미싱 문자가 지속적으로 발생하고 있어 사용자들의 주의가 필요합니다. 사회공학적 기법이란? 이러한 기술적인 방법이 아닌 사람의 심리를 이용하여 정보를 탈취하는 행위 문자내용 [국제발신] ***님, [결제] 승인코드 7**3 478,130원 승인 본인요청아닐시 고객센터 : 050-7349-***** [국제발신] ***님 [이베이] 결제안내 518USD$ 완료 본인신청아닐시 소비자보호원(050-7349-****)신고 바랍니다. [국외발신] ***님 [결제] 인증코드: 9**4 KRW 969,000원 [승인] 추석전 물류 관련 배송지연 문의 070-7678-**** [국외발신] ***님 [결제..

악성코드 분석 리포트 2021. 9. 10. 15:38

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 하이웍스를 사칭한 피싱메일이 대량으로 유포중에 있어 사용자들의 주의가 필요합니다. 하이웍스란 가비아에서 운영하는 클라우드 그룹웨어로 많은 기업에서 도입하여 사용 중 입니다. 이번에 발견된 메일은 '메일이 차단되었습니다. 회신 부탁드립니다'라는 제목으로 유포 중이며, 귀하의 메일 배달이 차단되었다는 내용과 함께 메일 내 포함되어 있는 메시지 검토 버튼 클릭을 유도합니다. 사용자가 메세지 검토를 클릭하면, 하이웍스 로그인 페이지로 위장한 피싱 페이지로 넘어갑니다. 피싱 페이지에는 사용자 이메일 계정이 이미 입력되어 있으며, 비밀번호 입력을 유도합니다. 사용자가 만약 비밀번호 입력 후 로그인을 누르면, 계정 정보는 공격자의 서버로 전송된 ..

악성코드 분석 리포트 2021. 9. 8. 15:40

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 6일, 이력서를 위장한 피싱 메일을 통해 Makop랜섬웨어가 대량으로 유포되어 사용자들의 주의를 당부드립니다. 해당 공격은 지난해부터 저작권, 입사지원서 등의 키워드로 랜섬웨어를 포함한 피싱 메일을 유포중인 비너스락커(VenusLocker) 그룹의 소행으로 추정되며, ESRC에서는 지속적으로 해당 그룹이 유포하는 피싱 메일에 대해 포스팅 해 왔습니다. ▶ 비너스락커 그룹, 저작권 침해안내로 위장한 피싱 공격 수행중 (21년 5월 12일) ▶ 비너스락커 조직, Makop 랜섬웨어 유포 중! (20년 10월 5일) 피싱 메일에는 "이력서_210905(경력사항도 같이 기재하였습니다 같이 확인부탁드립니다)"라는 파일명을 가진 exe 파일이 포함되..

악성코드 분석 리포트 2021. 9. 7. 16:43

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 대표적인 北 연계 해킹 그룹으로 알려진 ‘금성121’의 새로운 APT공격이 발견되었습니다. 이번 공격은 이메일에 악성 파일을 첨부해 보내는 전형적인 스피어 피싱(Spear Phishing) 공격 기법이 사용됐고, 마치 최근 북한의 정세와 안보관련 주제의 문서처럼 가장해 북한 인권단체의 대표를 공격 표적으로 삼았습니다. 먼저 공격자는 특정 인물의 SNS 계정을 해킹한 후 친구 관계로 연결된 또 다른 사람을 물색합니다. 친구 리스트에서 추가 공격대상 인물을 선정하고 SNS 메신저로 가벼운 안부 인사와 함께 평소 비슷한 관심사나 가십거리로 경계심을 낮춥니다. 그런 다음 자신이 작성한 최근 북한 정세와 관련된 칼럼에 대해 조언을 구하는 식으로, ..

악성코드 분석 리포트 2021. 9. 7. 15:15