안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2021년 올해 첫 새로운 랜섬웨어 패밀리가 발견되었습니다. 이름은 바북 락커(Babuk Locker)이고 지난 4월 워싱턴 DC 경찰서에 침투해 파일을 암호화하고 협박한 것으로 유명합니다. 그러나 얼마 지나지 않아 운영을 중단한 후 5월 말 PayloadBin으로 리브랜딩한 Babuk 랜섬웨어의 소스코드가 한 러시아 해킹 포럼에 게시되었습니다. Babuk 랜섬웨어는 사용자 PC의 데이터를 암호화하여 금전을 요구하는 악성코드입니다. 서비스형 랜섬웨어(RaaS)로 암호화 대상 파일 크기에 따라 암호화 파일 구조가 달라지는 점이 특징입니다. 또한 로컬 드라이브와 네트워크 드라이브로 연결된 모든 파일을 암호화 대상에 포함하고 C&C 연결을 하지..

악성코드 분석 리포트 2021. 9. 23. 09:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 스미싱 문자는 오래전부터 지속적으로 유포되어왔으며, 시간이 지날 수록 그 수법도 점점 기발해지고 있습니다. 이에 ESRC에서는 스미싱 문자의 공격유형에 대해 정리해 보았습니다. 악성 앱을 내려주는 링크가 포함된 스미싱 가장 고전적인 형태로, 사용자를 현혹하는 문구와 함께 악성 앱을 내려주는 링크가 문자 내에 포함되어 있습니다. 이러한 스미싱의 경우, 문자에 포함되어 있는 링크에서 직접 앱을 내려주기 때문에 보안시스템을 통해 쉽게 탐지가 가능합니다. 피싱 페이지로 유도하는 스미싱 고전적인 스미싱의 형태에서 조금 발전한 형태입니다. 직접 악성앱을 내려주는 경우, 보안시스템을 통해 쉽게 탐지가 가능하자 보안시스템을 우회하기 위하여 새로 등장한 방식입니다. 사용자..

악성코드 분석 리포트 2021. 9. 17. 13:20

안녕하세요. ESRC(시큐리티 대응센터)입니다. 민족 최대 명절인 추석을 앞두고, 추석을 키워드로 한 랜섬웨어가 유포 중에 있어 사용자들의 각별한 주의가 요구됩니다. 이번에 발견된 랜섬웨어는 '추석_이벤트_당첨'이라는 파일명으로 유포 중에 있습니다. 배포 방식은 아직 확인되지 않았으나 피싱 메일을 통한 유포로 추정되고 있습니다. '추석_이벤트_당첨.zip' 파일 내에는 2개의 .pdf 파일을 위장한 실행파일(.exe)이 포함되어 있습니다. 압축파일 내 2개의 파일이 포함되어 있지만, 실제로는 동일한 파일입니다. 만일 사용자가 해당 파일들을 실제 .pdf 파일로 오인하여 실행한다면, Penta 랜섬웨어가 실행되게 됩니다. 악성코드 분석 Penta 랜섬웨어가 실행되면 다음과 같은 순서로 악성행위를 합니다. ..

악성코드 분석 리포트 2021. 9. 16. 14:28

안녕하세요. ESRC(시큐리티 대응센터)입니다. 카카오톡 고객센터를 사칭한 피싱 메일이 유포중에 있어 사용자들의 주의가 필요합니다. 피싱 메일은 '[kakao] 비정상적인 로그인시도'라는 제목으로 유포중입니다. 비정상적인 로그인 시도가 감지되었으며, 만약 본인이 로그인을 시도한 것이 아니라면 카카오톡 검색창에 '보호조치 센터'를 검색하여 상담하라는 내용이 포함되어 있습니다. 피싱메일 내에는 첨부파일이나 링크가 포함되어 있지 않으며, 대신 하단에 카카오톡 검색창에 "보호조치 센터"를 검색하라고 친절히 안내해 줍니다. 실제로 카카오톡 검색창에 "보호조치 센터"라고 검색하면 채널이 뜹니다. 채널 프로필 사진은 kakao로 설정하여 실제 카카오톡 공식 채널처럼 위장하였지만, 친구가 매우 적어 사용자들이 쉽게 가..

악성코드 분석 리포트 2021. 9. 15. 08:48

안녕하세요. ESRC(시큐리티 대응센터)입니다. 비너스락커 조직이 이력서를 위장하여 Makop랜섬웨어를 지속적으로 유포하고 있으며, 다만 랜섬웨어를 첨부하는 형태가 조금씩 바뀌고 있습니다. 이번에 발견된 악성 메일 역시 이력서를 위장하고 있습니다. 얼마 전 ESRC에서 포스팅 한 비너스락커 조직 관련 포스팅 역시 이력서를 위장하고 있었습니다. 당시 악성 메일에 첨부되어 있는 압축 파일 내에는, 한글 파일로 위장한 Makop 랜섬웨어가 포함되어 있어 사용자들의 클릭을 유도하였습니다. 이번에 발견된 악성 메일 내에도 역시 첨부파일이 포함되어 있습니다. 다만, 이번에는 압축파일을 또 한번 압축한 이중압축 방식을 이용하여 보안시스템을 우회하고자 하였습니다. zip 파일 안에 있는 alz 파일 내에는 이력서를 위..

악성코드 분석 리포트 2021. 9. 14. 16:28

안녕하세요. ESRC(시큐리티 대응센터)입니다. 수신된 이메일에서 바이러스 활동이 감시되어 이메일 검사를 진행하라는 내용의 피싱 공격이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 "계정 보안 [이메일주소]” 라는 제목이 사용되었으며, 사용 중인 이메일 계정에서 바이러스 활동이 감지되어 계정 안전을 위해 본문에 표기된 링크를 클릭하여 이메일 검사를 유도하고 있습니다. 특히 발신자 주소가 한국 사이버결제사에서 보낸 것처럼 위장하여 사용자의 의심을 피하려 했습니다. 사용자가 이메일 바이러스 검사를 위해 본문에 기재 된 스캐닝 주소를 클릭하면 로그인 계정과 패스워드를 탈취하는 피싱 사이트로 이동하게 됩니다. 피싱사이트에 접속되면 사용자의 이메일이 감염되었다는 문구가 표시되며, 정상적인 바이러스..

악성코드 분석 리포트 2021. 9. 13. 15:34

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 피싱 메일을 통해 꾸준히 유포되고 있는 Lokibot이 피싱 메일의 형태를 변경하여 유포중에 있습니다. 이번에 발견된 피싱 메일은 물품공급계약서를 위장하고 있으며 2개 파일이 첨부되어 있습니다. 이메일 내용은 거래를 위하여 물품공급계약서를 받고 있다며, 첨부되어있는 '물품공급계약서' 파일명의 한글 파일을 실행하도록 유도합니다. 또한 직인 찍는 메뉴얼이라면서 '계약서 직인 찍는 위치.7z' 압축파일을 실행하도록 유도합니다. 한글 파일은 정상 파일로, 내부에는 일반적인 계약서 내용이 작성되어 있습니다. 압축파일 내에는 정상파일을 위장한 .exe 파일이 포함되어 있으며, 만약 사용자가 해당 파일의 압축을 해제한 후 클릭하면 Lokibot 악성코..

악성코드 분석 리포트 2021. 9. 13. 15:05

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 사회공학적 기법을 이용하여 해외 결제를 위장한 스미싱 문자가 지속적으로 발생하고 있어 사용자들의 주의가 필요합니다. 사회공학적 기법이란? 이러한 기술적인 방법이 아닌 사람의 심리를 이용하여 정보를 탈취하는 행위 문자내용 [국제발신] ***님, [결제] 승인코드 7**3 478,130원 승인 본인요청아닐시 고객센터 : 050-7349-***** [국제발신] ***님 [이베이] 결제안내 518USD$ 완료 본인신청아닐시 소비자보호원(050-7349-****)신고 바랍니다. [국외발신] ***님 [결제] 인증코드: 9**4 KRW 969,000원 [승인] 추석전 물류 관련 배송지연 문의 070-7678-**** [국외발신] ***님 [결제..

악성코드 분석 리포트 2021. 9. 10. 15:38