안녕하세요. ESRC(시큐리티 대응센터)입니다. 금일(13일) 오전 9시 40분경부터 Makop 랜섬웨어가 이력서를 위장한 피싱 메일을 통해 유포 중에 있어 사용자들의 주의가 필요합니다. 해당 랜섬웨어는 이력서를 위장한 악성 파일이 첨부된 피싱 메일을 통해 유포되고 있습니다. 메일에 첨부된 악성 파일 내에는 워드, 혹은 엑셀 파일을 위장한 실행 파일(exe)이 포함되어 있으며, 사용자가 일반 문서 파일로 위장한 악성 파일을 실행할 경우 Makop 랜섬웨어가 실행됩니다. 랜섬웨어가 실행되면 먼저 Windows 시점 복원을 방지하기 위해 'cmd.exe'를 이용하여 볼륨 섀도를 삭제합니다. 이후 현재 사용자가 사용 중인 프로세스와 관련된 파일들을 암호화시키기 위해 실행 중인 프로세스들을 확인하고 종료시킵니다..

악성코드 분석 리포트 2021. 7. 13. 13:46

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 전화상담을 통해 대출신청서 파일을 카카오톡 메신저로 전달하는 스미싱 공격이 등장하여 사용자들의 주의가 필요합니다. 사용자에게 전달된 메시지에는 “신청서.zip” 압축파일을 다운로드 및 설치를 유도하고 앱 설치에 필요한 “출처를 알 수 없는 앱 허용” 옵션까지 설명하고 있습니다. “신청서.zip” 파일 내부는 실제 대출신청서가 아니라 “신청서.apk” 안드로이드 파일이 압축되어 있습니다. 사용자가 압축 파일 내의 앱을 실행하면 실제 저축은행 앱처럼 구성되어 있어 사용자는 정상적인 앱으로 믿고 대출 신청을 진행하게 되지만, 실제 앱은 사용자의 정보를 탈취하는 기능을 가지고 있습니다. 해당 악성 앱의 주요 기능은 아래와 같습니다. - 기기 정보 탈취 - 공..

악성코드 분석 리포트 2021. 7. 13. 11:45

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2021년 1월 최초로 등장한 Babuk 랜섬웨어는 지난 4월까지 전 세계 기업 및 특정 개인을 대상으로 활발한 공격 활동을 펼쳤습니다. 하지만 지난 4월, 워싱턴 DC 경찰서 공격을 마지막으로 랜섬웨어 운영을 중단하였습니다. 그 후 5월 말, Babuk 랜섬웨어 운영자는 데이터 유출 사이트를 Payload.bin으로 리브랜딩 후 다른 공격자들에게 피해자들로부터 훔친 데이터를 유출할 수 있는 기회를 제공하였습니다. 6월 말, 악성코드 스캐닝 사이트 Virustotal에 Babuk 랜섬웨어 빌더가 업로드되었으며, 이를 한 보안 연구원이 발견하였습니다. 이 빌더가 Virustotal 사이트에 업로드된 경위는 아직 확인되지 않았습니다. 이에 E..

악성코드 분석 리포트 2021. 7. 12. 15:36

안녕하세요. ESRC(시큐리티 대응센터)입니다. 금일(12일)부터 국/내외 불특정 다수의 사용자에게 Hoax 이메일이 유포되고 있어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 'Important Updates' 라는 제목으로 유포되고 있습니다. 최근 전 세계적으로 이슈되고 있는 Kaseya 랜섬웨어 유포사건으로 기업들이 보안 SW 업데이트의 촉각을 기울이고 있습니다. 이번 혹스 메일은 이러한 상황을 노리는 것으로 추측됩니다. 이메일은 영문으로 작성되었으며, 제로데이 취약점을 악용하여 사용자 PC를 해킹하였다는 내용과 함께, 이메일에 포함된 비트코인 주소로 1650달러 상당의 비트코인을 보내라고 협박하는 내용을 포함하고 있습니다. 혹스 메일의 내용은 다음과 같습니다. I am sorry to in..

악성코드 분석 리포트 2021. 7. 12. 11:11

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 7월 2일, Sodinokibi(REvil) 랜섬웨어 해킹 조직이 미국 IT관리용 솔루션 제공 업체인 Kaseya의 VSA(원격 모니터링 및 관리 소프트웨어) 서버의 제로데이 취약점을 통해 랜섬웨어를 유포, 전 세계에서 약 1500명의 피해자가 발생하였습니다. 이러한 틈을 타, Kaseya 랜섬웨어가 악용한 취약점 패치를 위장한 악성 메일이 유포 중에 있어 사용자들의 주의가 필요합니다. 현재 유포되고 있는 악성 메일은 MS에서 이번 Kaseya 랜섬웨어가 악용한 취약점의 보안 패치를 위장하고 있습니다. 악성 메일에는 MS 보안 업데이트를 하라는 내용과 함께 링크가 포함되어 있습니다. 포함되어 있는 URL은 Kaseya 보안 패치처럼 보이지..

악성코드 분석 리포트 2021. 7. 7. 15:41

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 06월 27일~07월 03일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 113건이고 그중 악성은 48건으로 42.48%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 73건 대비 48건으로 25건이 감소했습니다. 일일 유입량은 하루 최저 2건(악성 1건)에서 최대 37건(악성 19건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 48건 중 Attach-Phishing형이 39.6%로 가장 많았고 뒤이어 Attach-Malwar..

악성코드 분석 리포트 2021. 7. 6. 15:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 한국 공공기관을 노린 북한 연계 해킹그룹의 공격이 계속 발견되고 있는 가운데, 이번에는 김수키의 구글 블로그를 활용한 해킹 시도가 급증하고 있어 각별한 주의가 필요합니다. 지난 28일 수행된 이번 공격은 학술대회 참가 양식처럼 위장된 MS Word 문서 파일로 마치 보안 문서처럼 암호가 설정되어 있지만, 이는 보안 프로그램의 탐지를 회피하기 위한 목적으로 사용됩니다. 해당 문서는 전형적인 악성 매크로 기법이 적용돼 있고, ‘콘텐츠 사용’ 버튼을 허용할 경우 악성코드가 실행됩니다. 분석에 의하면, 악성코드가 작동하면 국내 중소기업의 홈페이지(daewon3765.○○○[.]com)와 1차 통신을 시도하고, 그다음 공격자들이 구축한 특정 ..

악성코드 분석 리포트 2021. 7. 1. 13:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 06월 20일~06월 26일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 122건이고 그중 악성은 73건으로 59.84%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 61건 대비 73건으로 12건이 증가했습니다. 일일 유입량은 하루 최저 2건(악성 1건)에서 최대 46건(악성 29건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 73건 중 Attach-Malware형이 39.7%로 가장 많았고 뒤이어 Attach-Phishin..

악성코드 분석 리포트 2021. 6. 29. 10:00