안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. Lokibot은 인포스틸러 악성코드로서 웹 브라우저, 메일 클라이언트, FTP 클라이언트 등 감염 PC에 설치된 다양한 프로그램들에서 크리덴셜 정보를 탈취하는 기능을 가지고 있습니다. 수 년 전부터 꾸준히 유포되고 있는 악성코드이지만 현재까지도 꾸준히 배포되고 있습니다. Lokibot은 대부분 피싱메일을 통해 유포되고 있으며, 진단을 우회하기 위해 요즘은 주로 닷넷(.NET) 프로그램의 형태로 유포되고 있습니다. Lokibot 악성코드는 주로 견적 요청과 같은 피싱메일로 유포되며, 닷넷(.NET) 패커로 제작되어 있으며, Lokibot 페이로드를 자식프로세스에 인젝션하여 동작하며, 여러 종류의 수집 대상 프로그램에서 저장하고 있는 크리덴셜..

악성코드 분석 리포트 2021. 4. 19. 09:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 04월 04일~04월 10일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 88건이고 그중 악성은 37건으로 42.05%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 35건 대비 37건으로 2건이 증가했습니다. 일일 유입량은 하루 최저 4건(악성 1건)에서 최대 27건(악성 16건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 37건 중 Attach-Malware형이 62.2%로 가장 많았고 뒤이어 Link-Malware형이 2..

악성코드 분석 리포트 2021. 4. 13. 09:30

안녕하세요. ESRC(시큐리티 대응센터)입니다. 대표적인 클라우드 서비스 트레소리트(Tresorit)를 이용한 Formbook 악성파일이 유포 중인 정황이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 악성메일은 "service@dropbox.com shared "Revised_Contract.pdf" to you via Dropbox" 이라는 제목으로 수신되었으며, 본문에 기재된 Dropbox 링크를 통해 허위 견적서 파일을 다운로드하도록 유도합니다. 메일 본문에 기재된 링크는 Dropbox가 아닌 Tresorit 서비스 링크로 연결되며, Formbook 악성 파일이 담긴 압축파일을 다운로드할 수 있습니다. Contract_Signed_20219827304.zip 파일 내부에는 2개의 파일이 포..

악성코드 분석 리포트 2021. 4. 7. 15:14

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 03월 28일~04월 03일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 77건이고 그중 악성은 35건으로 45.45%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 34건 대비 35건으로 1건이 증가했습니다. 일일 유입량은 하루 최저 1건(악성 1건)에서 최대 22건(악성 12건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 35건 중 Attach-Malware형이 40.0%로 가장 많았고 뒤이어 Hoax형이 20.0%를 나타..

악성코드 분석 리포트 2021. 4. 6. 13:01

안녕하세요. ESRC(시큐리티 대응센터)입니다. 현재 입사지원서, 이력서를 위장한 Makop랜섬웨어가 유포 중인 정황이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 “쾌활하고 유능한 사람입니다”라는 제목으로 수신되었으며, 특정 기관의 인사/채용 관계자를 타깃으로 발행된 것으로 확인되었습니다. 메일에 첨부 된 압축파일 내부에는 이력서와 입사지원서 파일이 포함되어있지만 문서 파일이 아닌 실행파일(EXE)로 구성되어 있는 것이 확인됩니다. 사용자가 압축 파일을 해제하여 PDF 아이콘으로 위장된 파일을 실행할 경우 랜섬웨어 행위를 수행합니다. 먼저, Windows 시점 복원을 방지하기 위해 명령 프롬프트(CMD)를 이용하여 볼륨 섀도를 삭제합니다. 이후 현재 사용자가 사용 중인 프로세스와 관련된..

악성코드 분석 리포트 2021. 4. 2. 16:04

안녕하세요. ESRC(시큐리티 대응센터)입니다. 금일(2일) 오전 7시부터 불특정 다수의 사용자에게 협박성 Hoax 이메일이 유포되고 있어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 "고객님의 계좌에서 결제." 라는 제목으로 전파되었으며, 본문의 내용은 해커로부터 이메일 액세스 권한을 구매하였고 트로이목마를 설치하여 감시 중이라는 수신자를 협박하는 문구들이 기재되어 있습니다. 현재 유포되는 Hoax 메일의 경우 본문의 내용은 이전에 발견 된 메일들과 흡사하지만, 수신자의 이메일 주소만 부분적으로 변경되어 대량 유포되고 있습니다. 발견된 Hoax 메일의 전체 내용은 아래와 같습니다. 안녕하세요! 귀하에게 나쁜 소식 하나를 전합니다. 저는 몇 달 전에 귀하가 인터넷 검색에 사용하는 장치에 액세스할 ..

악성코드 분석 리포트 2021. 4. 2. 13:49

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 03월 21일~03월 27일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 76건이고 그중 악성은 34건으로 44.74%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 44건 대비 34건으로 10건이 감소했습니다. 일일 유입량은 하루 최저 2건(악성 2건)에서 최대 14건(악성 7건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 34건 중 Attach-Malware형이 44.1%로 가장 많았고 뒤이어 Attach-Phishing형..

악성코드 분석 리포트 2021. 3. 30. 09:30

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 03월 14일~03월 20일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 91건이고 그중 악성은 44건으로 48.35%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 45건 대비 44건으로 1건이 감소했습니다. 일일 유입량은 하루 최저 3건(악성 1건)에서 최대 21건(악성 12건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 44건 중 Attach-Malware형이 68.2%로 가장 많았고 뒤이어 Attach-Phishing형..

악성코드 분석 리포트 2021. 3. 23. 09:30