안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 이번에 발견된 피싱 메일은 해외 직구족들을 타깃으로 하고 있으며, 수입통관정보를 위장하여 계정 정보를 탈취하여 사용자들의 주의가 필요합니다. 해당 이메일은 'RE: [EXTERNAL] Re: [FedEx] AWB# 397911942611 / 397911943169' 제목으로 유포 중이며, 이메일에는 수입통관정보 제출안내라는 내용과 함께 html 파일이 포함되어 있습니다. 사용자가 첨부파일을 클릭하면 다음과 같이 엑셀 화면과 함께 계정 정보를 입력하라는 창이 뜹니다. 만약 사용자가 계정 정보를 입력하고 [View Document]를 누르면, 다음과 같이 캡챠 인증 단계가 나타납니다. 만약 사용자가 캡챠 인증을 완료하면 사용자가 입력한 정보가..

악성코드 분석 리포트 2021. 8. 24. 11:31

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 08월 15일~08월 21일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 97건이고 그중 악성은 32건으로 32.99%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 44건 대비 32건으로 12건이 감소했습니다. 일일 유입량은 하루 최저 6건(악성 3건)에서 최대 23건(악성 12건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 32건 중 Attach-Phishing형이 46.9%로 가장 많았고 뒤이어 Attach-Malware..

악성코드 분석 리포트 2021. 8. 24. 09:30

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 고전적인 수법의 피싱 사기는 현재까지도 지속해서 발생하고 있습니다. 공격자들은 유형만 조금씩 바꿔서 진행하는데, 여러가지 버전의 앱들을 만들고 배포하며 체계적으로 관리합니다. 최근에도 SNS를 통해 본인이 필라테스 강사임을 밝히며 접근해오는 수법으로 피해자를 물색하고 있습니다. 공격자들이 유포하고 있는 앱을 보면 갤러리, 동영상, 보안카메라 등 사진 관련 앱들로 구성되어 있고 주로 영상을 보여주는 것처럼 위장하고 있습니다. 분석 내용을 살펴보면 ‘Trojan.Android.Banker’는 돈을 목적으로 사용자의 정보를 탈취합니다. 현재 감염자는 대략 1,000명이며 지금, 이 순간에도 지속해서 늘어나고 있습니다. 보이스 피싱으로 인해 금전..

악성코드 분석 리포트 2021. 8. 20. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2020년 4월에 처음 등장한 Bazar 악성코드는 미국 및 유럽 전역의 전문 서비스, 의료, 제조, IT, 물류 및 여행 회사를 공격 대상으로 하고 있으며, 주로 피싱 이메일을 통하여 공격이 이루어지고 지속적으로 진화를 거듭해오고 있습니다. Bazar로더는 Trickbot 로더와 마찬가지로 해킹된 유효한 디지털 인증서를 이용하여 탐지를 회피합니다. 그리고 Bazar 로더는 명령 및 제어를 위해 EmerDNS(.bazar) 블록체인 도메인(도메인 차단 방지용)을 사용하여 C2서버와 통신하며, 필요한 API 및 문자열 등이 난독화 되어 있어 자동 및 수동 분석을 방해하고 암호화된 백도어를 메모리에만 로드하여 실행합니다. Bazar 악성코드는..

악성코드 분석 리포트 2021. 8. 19. 09:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 회계명세서, 견적문의 피싱 메일을 통해 Lokibot 악성코드가 유포되고 있어 사용자들의 주의가 필요합니다. * Lokibot Lokibot은 인포스틸러 악성코드로 웹 브라우저, 메일 클라이언트, FTP 클라이언트 등 감염 PC에 설치된 다양한 프로그램들에서 크리덴셜 정보를 탈취하는 기능을 가지고 있다. 수 년 전부터 현재까지 꾸준히 유포되고 있는 악성코드다. Lokibot은 대부분 피싱 메일을 통해 유포되고 있으며, 탐지를 우회하기 위해 요즘은 주로 닷넷(.NET) 프로그램의 형태로 유포되고 있다. Lokibot은 피싱 메일 형태로 국내에서 꾸준히 유포 중이며, 최근에는 네이버 전자세금계산서를 위장하여 유포되기도 했습니다. ▶ 네이버 전자세금계산서를 위장..

악성코드 분석 리포트 2021. 8. 18. 13:51

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 08월 08일~08월 14일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 92건이고 그중 악성은 44건으로 47.83%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 32건 대비 44건으로 12건이 증가했습니다. 일일 유입량은 하루 최저 2건(악성 1건)에서 최대 28건(악성 16건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 44건 중 Attach-Malware형이 61.4%로 가장 많았고 뒤이어 Attach-Phishing..

악성코드 분석 리포트 2021. 8. 17. 15:31

안녕하세요. ESRC(시큐리티 대응센터)입니다. 국내 포털사이트의 신규 인증서를 확인하라는 내용의 피싱 공격이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 "[인증서] 새 인증서를 확인해 주세요” 라는 제목이 사용되었으며, 최근 코로나19 예방접종 사전예약 시스템에서 본인인증 방법의 일환으로 네이버 인증서가 사용되기 때문에 이를 노린 사회공학적 기법 피싱 메일입니다. 사용자가 인증서를 확인하기 위해 클릭하면 로그인 계정과 패스워드를 탈취하는 피싱 사이트로 이동하게 됩니다. 피싱 사이트에 입력한 사용자의 계정 / 패스워드는 아래 공격자 서버로 전달됩니다. - 개인정보 피싱 및 수집 사이트 hxxp://nidlogin.great-site[.]net/?ref= hxxp://nidlogin.gr..

악성코드 분석 리포트 2021. 8. 13. 19:19

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 통일부 정착지원과의 모 사무관이 발송한 업무 내용처럼 위장한 해킹 이메일 공격이 등장해 각별한 주의가 필요합니다. 이번 스피어 피싱 공격은 08월 12일 한국의 대북 분야 종사자를 상대로 진행됐고, 이메일에는 “최근 유명인사를 노린 사이버 공격이 전방위로 진행되고 있어 사이버 안전에 유의를 부탁한다”는 본문과 함께 첨부된 ‘210811_업무연락(사이버안전).doc’ 악성 문서 파일을 열어 보도록 유인하는 특징이 있습니다. 최근 국내 사이버 보안 위협이 가중되고, 민관 사이버 위기 경보가 ‘정상’에서 ‘관심’ 단계로 격상 됨에 따라 공격자가 이 점을 노린 것으로 파악되며, 분석 결과 이번 통일부 사칭으로 유포된 DOC 문서 파일 내부에..

악성코드 분석 리포트 2021. 8. 13. 09:54