안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 국내 유명 대학교 교직원 장학금 신청 관련 내용으로 피싱 메일이 다량 유포되고 있어 관련자들의 각별한 주의가 필요합니다. 5월 13일 오후 11시 43분 경에 수신된 것으로 확인되는 메일들은 'Re: 00대학교 교직원 장학금 장학생 모집 신청서 예술공학부', 'Re: 00대학교 교직원 장학금 신청서 (20163100 김한빈)', 'Re: 00대학교 교직원 장학금 신청서-20196231 양란아'와 같은 제목을 사용하며, 본문에는 학생의 이름, 전공과 학번 등을 포함해 장학금을 신청한다는 내용을 담고 있습니다. 본문은 영어와 한글 버전이 모두 작성되어 있어, 수신자의 국적에 관계 없이 첨부파일을 열어보도록 유도했습니다. 메일에 사용된 발신 주소 도메인은 ..

악성코드 분석 리포트 2021. 5. 14. 14:43

안녕하세요. ESRC(시큐리티 대응센터)입니다. 오는 21일 열리는 한미정상회담을 계기로 북미대화 재개 가능성이 조심스럽게 나오는 가운데, 북한 배후 해킹 그룹 ‘탈륨(Thallium)’이 활발하게 활동중인 정황이 발견돼 대북 관련 전문가와 관계자의 각별한 주의가 요구됩니다. 최근 탈륨 조직의 ‘제헌절 국제학술포럼’, ‘북한비핵화컨트롤타워구축(안)’ 등으로 위장한 피싱 공격이 탐지되었습니다. 제헌절 국제학술포럼은 7월 27일 진행 일정의 포럼 내용을 담고 있으며, 개회식 내용에 통일부와 외교부장관 이름이 포함돼 있고, ‘한반도 평화·통일 교두보-북중러접경 국제공항 및 배후단지 조성방안’이라는 내용이 담겨 있습니다. 이러한 유형은 신뢰할만한 문서 내용처럼 수신자를 현혹하는 전형적인 스피어피싱 공격으로, ‘..

악성코드 분석 리포트 2021. 5. 12. 15:57

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 저작권 침해안내로 위장한 피싱 메일을 통해 Makop 랜섬웨어가 지속적으로 유포되고 있어 관계자들의 각별한 주의가 필요합니다. 해당 공격은 '비너스락커 (VenusLocker)' 소행으로 추정됩니다. 비너스락커 그룹은 지난해부터 입사지원서, 저작권 등의 내용으로 꾸준히 Makop 랜섬웨어를 유포해온 그룹으로 특정 기관 또는 업종 관계자를 타깃으로 공격을 수행하고 있는 것으로 보입니다. 금일 (5월 12일) 오전 8시 56분 경에 수신된 해당 메일은 '저작권 침해관련 안내(제자 제작자입니다)'라는 제목으로 전달되었으며, 수신자의 부적절한 이미지 사용에 대한 저작권 침해 사실을 안내하는 내용이 담겨있습니다. 발신자 이름은 국내 유명 서양화가로 알려진 작가..

악성코드 분석 리포트 2021. 5. 12. 14:38

안녕하세요. ESRC(시큐리티 대응센터)입니다. 5월 8일 오전 8시부터 국/내외 불특정 다수의 사용자에게 협박성 Hoax 이메일이 유포되고 있어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 "Payment from your account." 라는 제목으로 전파되었으며, 현재 영문으로 발송이 진행되고 있습니다. 본문의 내용은 이전과 동일하게 해커로부터 이메일 액세스 권한을 구매하고 트로이목마를 설치하여 사용자를 감시 중이라는 문구로 수신자를 협박하는 내용들이 기재되어 있습니다. 현재 유포 중인 혹스(Hoax) 메일은 기존에 발견된 한글 혹스 메일의 영문판으로 추측되며 메일 본문의 전체 내용은 아래와 같습니다. Greetings! I have to share bad news with you. App..

악성코드 분석 리포트 2021. 5. 11. 11:29

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 05월 02일~05월 08일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 77건이고 그중 악성은 32건으로 41.56%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 51건 대비 32건으로 19건이 감소했습니다. 일일 유입량은 하루 최저 2건(악성 1건)에서 최대 22건(악성 10건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 32건 중 Attach-Malware형이 46.9%로 가장 많았고 뒤이어 Attach-Phishing..

악성코드 분석 리포트 2021. 5. 11. 09:30

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 국내 중소기업 임직원 메일 계정을 사칭한 피싱 메일이 유포되고 있어 관련자들의 각별한 주의가 필요합니다. 이번에 발견된 메일 중 지난 5월 7일에 발견된 메일은 경기 지역에 위치한 한 기계 제조업체의 임직원 이름과 이메일 계정을 사칭하였으며, 해당 업체명이 포함된 '00테크 견적서'라는 제목을 사용했습니다. 발신자로 사용된 직원 이름은 해당 기업명 구글 검색 결과 중 우선 순위가 높게 나타나는 LinkedIn 프로필을 통해 쉽게 확인할 수 있습니다. 또한 LinkedIn 프로필 상에 나타난 지역과 이메일에 포함된 연락처 지역 번호를 일치시킴으로써 신뢰도를 높였습니다. 메일에는 견적서를 전달 드린다는 내용과 함께 'Darim Tech Quote 21_0..

악성코드 분석 리포트 2021. 5. 10. 16:19

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 외교부에서 발행한 것처럼 위장한 악성 파일이 발견되어 관련자들의 각별한 주의가 필요합니다. 해당 공격을 수행한 배후 세력으로는 북한 정부 지원 해커 조직인 ‘탈륨 (Thallium)’이 지목되었으며, 내부 문자열 암호화 방식이 기존 탈륨(Thallium) APT 조직의 ‘블루 에스티메이트 (Blue Estimate)’ 캠페인과 정확히 일치합니다. 이번 공격은 지난 4월에 발견된 ‘2021년 외교부 재외공관 복무 관련 실태 조사’ 관련 해킹 시도의 연장선에 있는 것으로 의심됩니다. 새로 발견된 악성 파일은 2021년 5월 7일 날짜로 발행된 외교부 대변인실 표지의 가판 뉴스가 담긴 정상 PDF 파일 내용을 사용함으로써 수신자의 의심을 최소화..

악성코드 분석 리포트 2021. 5. 7. 16:12

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 음성 메시지를 확인하라는 내용으로 위장한 피싱 공격이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 특정 소프트웨어 회사를 위장하며 "You Received an Audio Note" 라는 제목을 사용했고 음성 메시지를 확인하라는 메일 내용을 담고 있습니다. 또한 메일 본문에는 메시지를 남긴 사람의 발신자 번호, 날짜와 시간, 메시지 청취 가능 시간 등이 기재되어 있습니다. 사용자가 메일 본문에 기재된 "LISTEN NOW" 링크를 클릭할 경우 메일 계정과 패스워드를 가로채기 위한 피싱 사이트로 이동합니다. 수신자가 사이트에 접속하면, 피싱 사이트 제작자는 도메인 정보를 확인한 후 타사 서비스(statvoo)를 이용하여 회사 로고를 피싱..

악성코드 분석 리포트 2021. 5. 4. 16:10