안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 02월 07일~02월 13일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 103건이고 그중 악성은 33건으로 32.04%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 38건 대비 33건으로 5건이 감소했습니다. 일일 유입량은 하루 최저 7건(악성 3건)에서 최대 49건(악성 13건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 33건 중 Attach-Malware형이 45.5%로 가장 많았고 뒤이어 Link-Malware형이 ..

악성코드 분석 리포트 2021. 2. 16. 09:30

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 작년에 이어 올해도 코로나19가 여전한 채로 1월을 맞이했습니다. 코로나의 영향으로 1월도 폭발적인 택배 수요로 스미싱 공격 또한 택배 관련 스미싱이 대다수였습니다. 1월 스미싱 트렌드 ESRC에서 수집 한 1월의 스미싱 공격을 데이터와 통계를 통해 살펴보도록 하겠습니다. 1월 한 달간 수집된 스미싱을 키워드로 분류하면 다음 표와 같습니다. 키워드 SMS 내용 택배 택배 도착 등의 문구로 구성 건강검진 건강 검진 결과 등의 문구로 구성 금융 대출과 연관된 문구로 구성 수사기관 수사 기관을 사칭 청첩장 결혼 초대장 형식으로 구성 [표 1] 수집 스미싱 문자들의 키워드 기반 분류 다음 그림은 스미싱 키워드 별 발견 비율을 보여주고 있습니다. ..

악성코드 분석 리포트 2021. 2. 10. 16:27

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 01월 31일~02월 06일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 86건이고 그중 악성은 38건으로 44.19%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 47건 대비 38건으로 9건이 감소했습니다. 일일 유입량은 하루 최저 1건(악성 1건)에서 최대 28건(악성 18건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 38건 중 Attach-Malware형이 47.4%로 가장 많았고 뒤이어 Attach-Phishing형..

악성코드 분석 리포트 2021. 2. 9. 09:30

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 이메일에 악성 파일을 첨부해 감염을 유도하는 전형적인 스피어 피싱(Spear Phishing) 수법의 악성 DOCX 문서파일 2개가 발견됐습니다. 이번 공격에는 2가지 종류의 악성 문서 파일이 포착됐는데, 기능적으로는 동일한 형태로 분석됐습니다. ● 2021-0112 종합 당대회평가.docx ● 당대회 결론.docx 각 문서 파일은 서로 다른 내용을 담고 있지만, 위협 요소적인 측면으로 보면 같은 동작과 기능을 수행하게 됩니다. 문서가 처음 실행되면 다음과 같이 워드(docx) 내부 'settings.xml.rels' 코드에 선언된 'attachedTemplate' 타깃 주소를 호출합니다. 이때 사용된 호스트 서버 주소는 'reform-oue..

악성코드 분석 리포트 2021. 2. 8. 21:17

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 발견된 표적형 피싱 메일에서 모스(Morse) 코드를 이용한 난독화 피싱 메일이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 “ideafimit Revenue_payment_invoice February_Wednesday 02032021”라는 제목으로 수신되었으며, Excel 형태의 견적서처럼 보이는 방식으로 이름이 생성된 HTML 파일이 첨부되어 있습니다. 사용자는 견적 확인을 위해 첨부 된 파일을 다운로드하여 실행할 경우, 수신자의 계정과 패스워드를 가로채기 위한 피싱 페이지가 브라우저를 통해 연결됩니다. 첨부된 파일의 대한 정보는 다음과 같습니다. 첨부 파일명 알약 탐지명 ideafimit_invoice_1308._xslx.htm..

악성코드 분석 리포트 2021. 2. 8. 15:28

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 정부차원의 사이버 위협 조직을 분류하는데는 많은 자료 수집과 오랜기간의 연구조사가 필요하며, 위협 행위자가 활용한 거점 인프라와 각종 지표기반의 근거 데이터 확보가 우선시 되어야 합니다. ESRC 연구원들은 코니(Konni) 조직과 탈륨(Thallium, aka Kimsuky) 조직의 연관관계를 여러 차례 기술한 바 있고, 최근에는 탈륨 조직명으로 통합분류한 '탈륨 조직, 북한경제분야 활동 러시아 연구원 상대로 정교한 사이버 공격 수행 (2021. 02. 01)' 내용도 공개한 바 있습니다. ▷ [스페셜 리포트] 탈륨(김수키)과 코니 APT 그룹의 연관관계 분석 Part3 (2020. 11. 22) ▷ 코니(Konni) APT 조직, 안드로이..

악성코드 분석 리포트 2021. 2. 3. 17:44

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 01월 24일~01월 30일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 116건이고 그중 악성은 47건으로 40.52%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 52건 대비 47건으로 5건이 감소했습니다. ] 일일 유입량은 하루 최저 4건(악성 1건)에서 최대 24건(악성 12건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 47건 중 Attach-Malware형이 46.8%로 가장 많았고 뒤이어 Link-Malware형..

악성코드 분석 리포트 2021. 2. 2. 09:30

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. ESRC는 북한 당국과 연계된 것으로 알려진 탈륨(Thallium) 조직의 위협활동을 모니터링하는 과정 중, 모스크바에 있는 러시아 과학원 극동 연구소의 한국학 센터 선임 연구원을 상대로 이메일 해킹 공격 시도 정황을 포착했습니다. 위협 행위자는 'Short URL generator' 서비스를 이용해 특정 단축 URL 주소를 생성했고, 실제 아래와 같은 주소가 공격에 사용된 것으로 파악됐습니다. ● dnsservice.esy[.]es/session-error-active/rambler.ru/config/?id=ludmila_hph&ath=kpp.pdf (93.188.160.77) 단축 URL "surl[.]me/zsu7" 주소가 이메일 링크로..

악성코드 분석 리포트 2021. 2. 1. 19:26