안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 ‘탈륨’ 또는 ‘김수키’ 등의 이름으로 널리 알려진 北 연계 해킹 조직 소행으로 지목된 APT(지능형지속위협) 공격이 국내에서 연이어 발견되고 있어 각별한 주의가 필요합니다. 이번에 새롭게 발견된 APT 공격은 통일부를 사칭한 이메일 공격과 통일연구원을 사칭한 이메일 해킹 공격 유형 등입니다. 먼저 통일부 사칭 공격은 지난 06월 22일 수행됐고, 통일연구원을 사칭한 공격은 24일 포착됐습니다. 두 공격 모두 거의 동일한 시기에 ‘북한의 당 중앙위원회 제8기 제3차 전원회의 분석’ 주제와 관련된 내용처럼 수신자를 현혹하는 공통점이 발견됐습니다. 특히, 수신자들이 해당 이메일을 해킹 공격으로 의심하지 않도록 각 발신지 주소를 실제 통일..

악성코드 분석 리포트 2021. 6. 25. 14:30

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 피싱 메일로 수집 한 개인정보를 클라우드 기반 인터넷 메신저인 "텔레그램 API"로 전달하는 피싱 메일이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 "✉ 배달되지 않은 메일이 7 개 있습니다" 라는 제목을 사용하여 사용자가 지난 메일을 확인하기 위해 본문 내의 링크를 클릭하도록 유도시키고 있습니다. 피싱 메일 본문에는 “시스템 지연으로 인해 발송되지 않은 메일이 7개 있습니다. 수정 사항은 다음과 같습니다” 라는 문구로 사용자의 클릭을 유도하며 링크가 클릭된 경우 계정과 패스워드를 가로채기 위한 피싱 사이트로 이동합니다. 피싱 사이트에 입력 한 사용자의 계정 및 패스워드와 접속한 사용자에 대한 추가 정보(IP주소, 국가정보, 도시, ..

악성코드 분석 리포트 2021. 6. 23. 18:06

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 국내 유통 업체 발주서로 위장한 악성 메일이 유포되고 있어 사용자들의 각별한 주의가 필요합니다. 6월 22일 오후 12시 03분 경 수신된 해당 메일은 ‘00000 발주서’라는 제목을 사용해 경북 대구 소재의 기계설비 유통 업체의 발주서인 것처럼 위장하고 있으며 발신자 이메일 주소는 서울에 본사를 둔 글로벌 기업의 도메인 주소를 활용했습니다. 이메일 하단에 발신자 주소와 전화번호가 포함되어 있는데, 해당 기업의 실제 홈페이지에 나와있는 정보와 동일한 정보를 활용함으로써 더욱 신뢰성을 높였습니다. 이메일 본문은 별도의 내용이 포함되지 않으며, 사용자의 클릭을 유도하기 위해 메일 작성시 ‘중요도 높음’ 옵션을 사용함으로써 다음과 같이 안내 차원의 팝업 메..

악성코드 분석 리포트 2021. 6. 23. 14:20

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 06월 13일~06월 19일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 124건이고 그중 악성은 61건으로 49.19%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 54건 대비 61건으로 7건이 증가했습니다. 일일 유입량은 하루 최저 1건(악성 1건)에서 최대 37건(악성 20건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 61건 중 Attach-Phishing형이 41.0%로 가장 많았고 뒤이어 Attach-Malware..

악성코드 분석 리포트 2021. 6. 22. 15:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 발견되는 악성 앱 중 피해자의 금전 탈취를 위해 정교하게 만들어진 앱을 살펴보도록 하겠습니다. 해당 앱은 예전부터 주기적으로 확인되었으며 현재까지 매주 1~2개씩 발견되고 있습니다. 또한, 목적이 보이스 피싱 공격이므로 공격 흐름은 악성 앱을 해당 기기에 설치하는 것부터 시작됩니다. 이후 개인 정보 탈취를 비롯한 스마트폰의 통화 기능을 장악하여 피해자의 통화를 유도하고 변조하여 최종 목표인 금전 탈취를 달성하게 됩니다. Trojan.Android.Banker는 보이스 피싱 공격을 통해 피해자의 금전 갈취를 주요 목적으로 하고 있습니다. 각종 신뢰할 수 있는 기관이나 은행들을 사칭하여 피해자가 구별하기 더욱 힘들게 하고 있습니다. 따라..

악성코드 분석 리포트 2021. 6. 22. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. Trojan.Ransom.Conti’(이하 ‘Conti’) 랜섬웨어는 2019년 12월에 처음 배포된 것으로 확인되었습니다. 최근 400개 이상의 조직이 Conti 랜섬웨어 공격의 표적이 되었으며, 16건의 공격은 의료 기관 시스템에서 알려졌습니다. Conti 랜섬웨어는 파일 암호화 기능을 수행하는 랜섬웨어입니다. 랜섬노트에서 안내되는 다크넷에서 추가로 대화가 입력되면서 이용자에게 금전을 탈취하는 점이 특징입니다. 랜섬웨어의 특성 상, 기업체나 일반 이용자 입장에서 사용자 정보가 담긴 파일을 암호화할 수 있기 때문에 금전, 정보 유출 등의 피해가 발생될 수 있어 주의가 필요합니다. 따라서, 악성코드 감염을 방지하기 위해 출처가 불분명한 이..

악성코드 분석 리포트 2021. 6. 21. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 5월은 4월과 비슷한 수준의 공격이 이루어졌으나 스미싱 키워드별 비율은 소폭 변동이 있었습니다. 4월에 이어 5월에도 택배 스미싱 공격은 소폭 감소했으며 건강검진과 암호화폐 관련 스미싱 공격이 증가했습니다 5월 스미싱 트렌드를 살펴보겠습니다 5월 스미싱 트렌드 ESRC에서 수집 한 5월의 스미싱 공격을 데이터와 통계를 통해 살펴보도록 하겠습니다. 5월 한 달간 수집된 스미싱을 키워드로 분류하면 다음 표와 같습니다. 키워드 SMS 내용 택배 택배 도착 등의 문구로 구성 건강검진 건강 검진 결과 등의 문구로 구성 금융 대출과 연관된 문구로 구성 암호화폐 암호화폐 거래소 사칭. 피싱 사이트 접속 유도 문구로 구성 [표 1] 수집 스미싱 문자들의..

악성코드 분석 리포트 2021. 6. 17. 14:20

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 파일 전송 사이트인 WeTransfer를 위장해 사용자의 개인정보를 탈취하는 피싱 공격이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 "afa******@gmail.com sent you some files” 라는 제목을 사용하며 파일 전송 사이트인 WeTransfer로 위장하여 사용자가 파일을 다운로드하기 위해 본문 내의 링크를 클릭하도록 유도시키고 있습니다. 사용자가 메일 본문에 기재된 "Get your files" 링크를 클릭할 경우 계정과 패스워드를 가로채기 위한 피싱 사이트로 이동합니다. [그림 2]의 Download 버튼을 누르면 화면 중앙에 로그인 창이 나타나 패스워드를 입력하도록 유도합니다. 해당 피싱 사이트는 실제 We..

악성코드 분석 리포트 2021. 6. 15. 14:44