안녕하세요? ESRC(이스트시큐리티 시큐리티 대응센터) 입니다. 이미지 저작권법 위배 안내로 위장한 메일을 통해 Makop 랜섬웨어가 지속적으로 유포되는 정황이 포착되어 일반 사용자와 기업 담당자들의 주의가 필요합니다. 만일 이용자가 최종 압축 파일에 있는 ‘이미지 원본(제가 제작한 이미지)과 사용하고 있으신 이미지 정리한 내용.exe’, ‘저작권법 관련하여 위반인 사항들 정리하여 보내드립니다.exe’을 클릭할 경우 파일 암호화 기능의 Makop 랜섬웨어가 실행됩니다. Makop 랜섬웨어는 파일 암호화 기능을 수행하는 악성코드로 암호화된 파일 뒤에 [임의 영문 8자리].[moloch_helpdesk@tutanota.com].moloch를 추가하고, 이후 복호화 안내를 위해 ‘readme-warning.t..

악성코드 분석 리포트 2021. 1. 5. 14:36

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 12월 27일~01월 02일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 68건이고 그중 악성은 29건으로 42.65%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 35건 대비 29건으로 6건이 감소했습니다. 일일 유입량은 하루 최저 3건(악성 1건)에서 최대 21건(악성 9건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 29건 중 Attach-Malware형이 55.2%로 가장 많았고 뒤이어 Link-Malware형이 20..

악성코드 분석 리포트 2021. 1. 5. 09:30

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 북한 연계 해킹조직으로 알려진 탈륨이 최근 사설 주식 투자 메신저 프로그램을 변조해 공급망 공격을 수행한 것이 발견됐습니다. 탈륨 조직은 최근까지 '블루 에스티메이트(Blue Estimate)' 등 주로 (스피어) 피싱 공격을 주로 사용합니다. 물론 과거에도 공급망 공격을 수행한 경우가 존재하는데, 2020년 10월 16일 '탈륨조직의 국내 암호화폐 지갑 펌웨어로 위장한 다차원 APT 공격 분석' 사례가 있습니다. 메신저 프로그램은 NSIS(Nullsoft Scriptable Install System) 설치 프로그램 형태로 제작됐습니다. NSIS는 스크립트 기반으로 동작하는 윈도용 설치(Installer) 시스템으로, 윈앰프를 만든 것으로 ..

악성코드 분석 리포트 2021. 1. 3. 21:28

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 12월 20일~12월 26일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 80건이고 그중 악성은 35건으로 43.75%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 50건 대비 35건으로 15건이 감소했습니다. 일일 유입량은 하루 최저 1건(악성 1건)에서 최대 27건(악성 13건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 35건 중 Attach-Malware형이 48.6%로 가장 많았고 뒤이어 Link-Malware형이 ..

악성코드 분석 리포트 2020. 12. 29. 09:30

안녕하세요. ESRC(시큐리티 대응센터)입니다. Google 드라이브를 이용하여 수신자의 계정 정보를 탈취하는 피싱 메일이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 “Google 드라이브를 통해 문서화”라는 제목으로 수신되었으며, 문서를 확인하기 위해 구글 드라이브 앱에 첨부된 파일을 읽어달라는 허위 내용으로 수신자의 클릭을 유도하여 계정을 탈취하기 위한 목적으로 발송되었습니다. 메일을 수신 한 사용자가 문서파일을 열기 위해 본문에 기재된 링크를 클릭할 경우 계정과 패스워드를 가로채기 위한 피싱 사이트로 이동하게 됩니다. 피싱 사이트는 사용자 다수의 계정 정보를 탈취하기 위해 Yahoo, Gmail, MS, AOL 그리고 Other Email을 적을 수 있도록 제작되어 있습니다. 사용..

악성코드 분석 리포트 2020. 12. 28. 16:04

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 12월 13일~12월 19일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 235건이고 그중 악성은 48건으로 20.43%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 47건 대비 48건으로 1건이 증가했습니다. 일일 유입량은 하루 최저 3건(악성 1건)에서 최대 58건(악성 15건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 48건 중 Attach-Malware형이 72.9%로 가장 많았고 뒤이어 Link-Malware형이 ..

악성코드 분석 리포트 2020. 12. 22. 09:30

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 최근 국내 블록체인 기업의 체불확인원 개인문서로 위장한 악성 DOC 파일이 발견됐습니다. 이 악성파일은 기존 탈륨(Thallium) 조직의 전략전술 기법과 프로세스가 일치하며, '스모크 스크린(Smoke Screen)' APT 캠페인의 일환으로 분석됐습니다. 먼저 문서는 다음과 같은 형태를 가지고 있는데, 파일명에 특정인 이름이 포함돼 있습니다. 파일명 작성자 마지막 수정명 마지막 수정 시간 체불확인원-ㅇㅇㅇ.doc User Devil 2020-12-14 14:06:00 (UTC) 문서가 실행되면 다음과 같이 매크로 실행을 유도하기 위해 조작한 문서보안 메시지를 보여줍니다. 보안경고 창에 있는 [콘텐츠 사용] 버튼 클릭을 유도..

악성코드 분석 리포트 2020. 12. 17. 11:14

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2020년 12월 16일 특정 보험사를 사칭한 ‘[00손해보험] 자동차보험 증권입니다.’라는 제목으로 스팸 메일을 통해 원격 제어 악성코드인 ‘NanoCore’가 유포되고 있습니다. 첨부 파일을 확인해 보면 윈도우에서 소프트웨어 설치에 사용되는 Windows 캐비닛('.cab') 파일이 존재하며, 이 파일은 실행파일인 exe 파일을 포함합니다. 이 악성코드는 파일을 실행하면 리소스 영역(RCData WIOSOSOSOW)의 난독화된 쉘코드(Shellcode)를 실행합니다. 리소스 영역(RCData WIOSOSOSOW) 난독화 된 쉘코드를 복호화하는 코드입니다. 이 쉘코드는 exe 파일 내 숨겨진 난독화 된 데이터를 메모리 상에서 복호화합니다..

악성코드 분석 리포트 2020. 12. 17. 10:04