안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 최근 국내 블록체인 기업의 체불확인원 개인문서로 위장한 악성 DOC 파일이 발견됐습니다. 이 악성파일은 기존 탈륨(Thallium) 조직의 전략전술 기법과 프로세스가 일치하며, '스모크 스크린(Smoke Screen)' APT 캠페인의 일환으로 분석됐습니다. 먼저 문서는 다음과 같은 형태를 가지고 있는데, 파일명에 특정인 이름이 포함돼 있습니다. 파일명 작성자 마지막 수정명 마지막 수정 시간 체불확인원-ㅇㅇㅇ.doc User Devil 2020-12-14 14:06:00 (UTC) 문서가 실행되면 다음과 같이 매크로 실행을 유도하기 위해 조작한 문서보안 메시지를 보여줍니다. 보안경고 창에 있는 [콘텐츠 사용] 버튼 클릭을 유도..

악성코드 분석 리포트 2020. 12. 17. 11:14

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2020년 12월 16일 특정 보험사를 사칭한 ‘[00손해보험] 자동차보험 증권입니다.’라는 제목으로 스팸 메일을 통해 원격 제어 악성코드인 ‘NanoCore’가 유포되고 있습니다. 첨부 파일을 확인해 보면 윈도우에서 소프트웨어 설치에 사용되는 Windows 캐비닛('.cab') 파일이 존재하며, 이 파일은 실행파일인 exe 파일을 포함합니다. 이 악성코드는 파일을 실행하면 리소스 영역(RCData WIOSOSOSOW)의 난독화된 쉘코드(Shellcode)를 실행합니다. 리소스 영역(RCData WIOSOSOSOW) 난독화 된 쉘코드를 복호화하는 코드입니다. 이 쉘코드는 exe 파일 내 숨겨진 난독화 된 데이터를 메모리 상에서 복호화합니다..

악성코드 분석 리포트 2020. 12. 17. 10:04

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 11월에 발견된 ‘Trojan.Android.AgentNK’는 코니(Konni) APT 조직이 유포한 공격 앱으로 암호화폐 관련 앱으로 위장하여 유포되었습니다. 악성 앱의 주요 목표는 피해자의 개인 정보 탈취에 있습니다. [그림] 악성 앱 설치 화면 이런 공격은 부지불식간에 당하기 마련이기에 사용자의 예방 노력이 무엇보다 중요합니다. 앱 설치 시 본인의 스마트폰이 위협에 노출될 수 있음을 인지하고 주의를 기울여야 하며 알약M과 같은 신뢰할 수 있는 백신을 사용해야 합니다. 현재 알약M에서는 해당 앱을 ‘Trojan.Android.AgentNK’ 탐지 명으로 진단하고 있으며, 관련 상세 분석보고서는 Threat Inside 웹서비스 구독을 ..

악성코드 분석 리포트 2020. 12. 17. 09:00

안녕하세요. ESRC(이스트시큐리티 시큐리티 대응센터) 입니다. 현재 '저작권 위법 안내'메일을 위장하여 랜섬웨어가 유포되는 정황이 포착되어 일반 사용자들과 기업 담당자들의 주의가 필요합니다. 메일은 '자신의 작품을 동의 없이 사용하였고, 현재 저작권이 위반되는 사항이 있으니 해당 내용 확인하여 상의하자'는 내용과 함께 첨부파일을 포함하고 있습니다. 실제 첨부된 파일은 랜섬웨어 파일로 사용자에게 이메일 내용을 통하여 첨부 파일 실행을 유도합니다. '저작권법 관련하여 위반인 사항'들 정리하여 보내드립니다.exe' 파일 분석 1) 특정 프로세스 종료 현재 시스템에서 아래 프로세스가 실행중일 경우, 이를 종료합니다. 이는 프로세스에서 접근중인 파일을 암호화시키기 위함으로 보입니다. msftesql.exe, s..

악성코드 분석 리포트 2020. 12. 16. 23:22

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 다크 웹 유출 정보 공개 사이트에 국내 기업 정보가 기재되었고 유출한 자료가 다크 웹에 공개될 수 있다고 협박을 받고 있는 것으로 알려졌습니다. 작년 처음 등장한 신종 랜섬웨어로 사용자의 파일을 암호화하여 금전을 요구하는 악성코드입니다. [그림] ‘LockBit-note.hta’ 실행 화면 ‘Trojan.Ransom.LockBit’ 랜섬웨어는 파라미터에 따라 특정 파일/경로와 로컬 PC와 연결된 네트워크 리소스 전체를 암호화한다는 점이 특징입니다. 추가로 로컬 드라이브와 네트워크 드라이브로 연결된 모든 파일이 암호화 대상에 포함되기 때문에 폐쇄망을 사용하는 기업 또한 랜섬웨어 공격에 주의가 필요합니다. 따라서 랜섬웨어를 예방하기 위해..

악성코드 분석 리포트 2020. 12. 16. 09:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 2020년 하반기에 들어서면서 HWP 문서파일 공격기법에 변화가 감지되고 있습니다. 기존에 많이 쓰이던 포스트스크립트(PostScript) 방식에서 오브젝트 연결 삽입(OLE) 방식으로 변화되고 있습니다. 참고로 OLE란 'Object Linking and Embedding' 약자로서 객체 연결 및 삽입을 뜻하는데, 한컴에서는 대신 라는 표현을 사용합니다. 그리고 복합 파일 이진 형식(CFBF : Compound File Binary Format)이라고도 불립니다. ESRC는 2020년 12월 위협 행위자가 사용한 대표적 사례를 심층적으로 기술해 보고자 합니다. 1. 초기 침투 과정 요약 □ 1단계 : 궁금증을 유발하는 이메일을 전달 대부분의..

악성코드 분석 리포트 2020. 12. 16. 00:34

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 12월 06일~12월 12일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 189건이고 그중 악성은 47건으로 24.87%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 45건 대비 47건으로 2건이 증가했습니다. 일일 유입량은 하루 최저 2건(악성 1건)에서 최대 54건(악성 23건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 47건 중 Attach-Phishing형이 53.2%로 가장 많았고 뒤이어 Attach-Malware..

악성코드 분석 리포트 2020. 12. 15. 09:30

안녕하세요. 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 최근 ‘탈륨’과 ‘금성121'등 북한 연계 조직의 소행으로 추정되는 APT 공격이 연이어 발견되고 있어 주의가 필요합니다. 이번에 새롭게 발견된 APT 공격은 통일부 사칭 악성 이메일 공격과 평화 통일 관련 이야기 공모전 신청서를 사칭한 악성 HWP 문서 공격입니다. [그림] 통일부 자료 사칭 이메일과 통일 관련 공모전 신청서 사칭 HWP 파일 먼저 통일부 사칭 공격은 악성 문서 파일을 첨부한 이메일을 발송해 수신자가 파일을 열어보도록 현혹하는 전형적인 스피어피싱 공격처럼 보이지만 실제로는 첨부파일이 아닌 악성 링크를 활용한 공격입니다. 공격자가 발송한 이메일 본문에는 통일부에서 정식 발행한 것처럼 정교하게 조작된 문서 첫 장의 이미지가 삽입되..

악성코드 분석 리포트 2020. 12. 9. 13:41