안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 ‘Spyware.AgentTesla’(이하 ‘AgentTesla’) 악성코드가 국내 기업을 대상으로 무역 관련 내용의 악성 메일로 유포되고 있습니다. 메일 첨부 파일에 있는 ‘New Inquiry #20004546.gz’ 내 ‘New Inquiry #20004546.exe’에서 실행이 이루어집니다. 실행되는 ‘AgentTesla’는 SMTP를 통해 C&C로 감염 PC의 정보를 전송하는 악성코드입니다. 따라서 감염될 경우 사용자들이 사용하는 크리덴셜 정보들이 공격자에게 노출될 수 있어 주의가 필요합니다. 또한 기업 혹은 최근 재택근무 환경에서 감염이 되는 경우, 크리덴셜 정보의 유출에 따른 피해가 발생할 수 있어 주의가 필요합니다. 현..

악성코드 분석 리포트 2021. 1. 20. 09:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 01월 10일~01월 16일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 170건이고 그중 악성은 56건으로 32.94%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 55건 대비 56건으로 1건이 증가했습니다. 일일 유입량은 하루 최저 5건(악성 2건)에서 최대 55건(악성 18건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 56건 중 Attach-Malware형이 91.1%로 가장 많았고 뒤이어 Link-Malware형이 ..

악성코드 분석 리포트 2021. 1. 19. 09:30

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 최근 미국 바이든 행정부 출범 기획 설문지로 위장한 해킹 공격이 수행중인 것으로 확인되어 각별한 주의가 필요합니다. 해당 공격 배후로는 국제사회에 북한 정부가 연계된 것으로 알려진 해킹 조직 ‘탈륨(Thallium)’이 지목되었으며, 해당 그룹은 2021년에도 가장 활발하게 공격을 수행 중인 지능형지속위협(APT) 그룹 중 하나입니다. 2019년말 미국 마이크로소프트(MS)로부터 정식 고소를 당하며 국제 사회에 주목을 받은 해킹 조직으로, 김수키(Kimsuky)라는 별칭도 가지고 있는 탈륨 조직은 한국과 미국 등을 포함해 글로벌 위협 활동을 펼치고 있으며, 대북 분야 민간단체나 정치·외교·안보·통일·국방 전현직 관계자를 대상으로 광범위한 사이버..

악성코드 분석 리포트 2021. 1. 18. 15:14

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 코로나19가 맹위를 떨친 12월, 공격자들은 여전히 스미싱 공격을 이어오고 있습니다. 바뀐 생활 패턴에 맞추어 택배 관련 스미싱 공격이 주류를 이루고 있으며 건강과 관련돼 건강검진이 뒤를 잇고 있습니다. 12월 스미싱 트렌드 ESRC에서 수집 한 12월의 스미싱 공격을 데이터와 통계를 통해 살펴보도록 하겠습니다. 12월 한 달간 수집된 스미싱을 키워드로 분류하면 다음 표와 같습니다. 키워드 SMS 내용 택배 택배 도착 등의 문구로 구성 건강검진 건강 검진 결과 등의 문구로 구성 금융 대출과 연관된 문구로 구성 재난지원금 재난 지원금 수령 등의 내용으로 구성 [표 1] 수집 스미싱 문자들의 키워드 기반 분류 다음 그림은 스미싱 키워드 별 발..

악성코드 분석 리포트 2021. 1. 13. 18:11

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 01월 03일~01월 09일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 119건이고 그중 악성은 56건으로 47.06%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 29건 대비 56건으로 27건이 증가했습니다. 일일 유입량은 하루 최저 3건(악성 2건)에서 최대 29건(악성 17건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 56건 중 Attach-Malware형이 51.8%로 가장 많았고 뒤이어 Link-Malware형이..

악성코드 분석 리포트 2021. 1. 12. 09:30

안녕하세요? ESRC(이스트시큐리티 시큐리티 대응센터) 입니다. 이미지 저작권법 위배 안내로 위장한 메일을 통해 Makop 랜섬웨어가 지속적으로 유포되는 정황이 포착되어 일반 사용자와 기업 담당자들의 주의가 필요합니다. 만일 이용자가 최종 압축 파일에 있는 ‘이미지 원본(제가 제작한 이미지)과 사용하고 있으신 이미지 정리한 내용.exe’, ‘저작권법 관련하여 위반인 사항들 정리하여 보내드립니다.exe’을 클릭할 경우 파일 암호화 기능의 Makop 랜섬웨어가 실행됩니다. Makop 랜섬웨어는 파일 암호화 기능을 수행하는 악성코드로 암호화된 파일 뒤에 [임의 영문 8자리].[moloch_helpdesk@tutanota.com].moloch를 추가하고, 이후 복호화 안내를 위해 ‘readme-warning.t..

악성코드 분석 리포트 2021. 1. 5. 14:36

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 12월 27일~01월 02일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 68건이고 그중 악성은 29건으로 42.65%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 35건 대비 29건으로 6건이 감소했습니다. 일일 유입량은 하루 최저 3건(악성 1건)에서 최대 21건(악성 9건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 29건 중 Attach-Malware형이 55.2%로 가장 많았고 뒤이어 Link-Malware형이 20..

악성코드 분석 리포트 2021. 1. 5. 09:30

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 북한 연계 해킹조직으로 알려진 탈륨이 최근 사설 주식 투자 메신저 프로그램을 변조해 공급망 공격을 수행한 것이 발견됐습니다. 탈륨 조직은 최근까지 '블루 에스티메이트(Blue Estimate)' 등 주로 (스피어) 피싱 공격을 주로 사용합니다. 물론 과거에도 공급망 공격을 수행한 경우가 존재하는데, 2020년 10월 16일 '탈륨조직의 국내 암호화폐 지갑 펌웨어로 위장한 다차원 APT 공격 분석' 사례가 있습니다. 메신저 프로그램은 NSIS(Nullsoft Scriptable Install System) 설치 프로그램 형태로 제작됐습니다. NSIS는 스크립트 기반으로 동작하는 윈도용 설치(Installer) 시스템으로, 윈앰프를 만든 것으로 ..

악성코드 분석 리포트 2021. 1. 3. 21:28