안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 국내 기업에 [사람인] 입사지원서를 위장한 메일이 유포되었습니다. 공격자는 아래의 메일을 통해 이용자에게 'Permission_301859804_09172020.zip' 첨부파일 실행을 유도합니다. 'Permission_301859804_09172020.zip' 에는 'Permission_301859804_09172020.xls' 엑셀파일이 있고, 이를 실행하게 되면 Trojan.Agent.QakBot(이하 Qbot) 뱅킹 트로이목마 악성코드에 감염됩니다. [그림] 수신된 이메일 화면 본 악성코드는 C&C에서 브라우저, 뱅킹 정보 탈취 관련 추가 모듈 등을 다운받는 것으로 알려져 있어, 특히 기업체에서 감염이 되는 경우 큰 피해가 발..

악성코드 분석 리포트 2020. 11. 17. 13:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 11월 08일~11월 14일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 212건이고 그중 악성은 63건으로 29.72%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 0건 대비 63건으로 63건이 증가했습니다. 일일 유입량은 하루 최저 8건(악성 5건)에서 최대 77건(악성 16건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 63건 중 Attach-Malware형이 79.4%로 가장 많았고 뒤이어 Attach-Phishing..

악성코드 분석 리포트 2020. 11. 17. 09:30

안녕하세요. ESRC(시큐리티 대응센터)입니다. 현재 이력서를 위장한 Makop랜섬웨어가 대량 유포 중인 정황이 발견되어 사용자들의 주의가 필요합니다.공격자는 이력서를 위장하여 악성파일이 첨부된 파일을 전송합니다. [그림 1] 이력서 위장 이메일 화면 [그림 2] 첨부 파일 코드 분석 첨부파일은 pdf 아이콘을 가지고 있으며 사용자에게 문서파일인 것으로 위장하지만 해당 파일은 exe 파일로 실행 파일을 암호화하는 랜섬웨어 행위를 수행합니다. 먼저, Windows 시점 복원을 방지하기 위해 'cmd.exe'를 이용하여 볼륨 섀도를 삭제합니다. [그림 3] 볼륨 섀도 삭제 화면 또한, 현재 사용자가 접근 중이거나 프로세스에서 사용되는 파일을 암호화시키기 위해 현재 로컬에서 실행 중인 프로세스들을 확인하여 종..

악성코드 분석 리포트 2020. 11. 16. 15:52

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 2019년 말 미국 마이크로소프트(MS)사가 고소하면서 알려진 북한 연계 해킹그룹 ‘탈륨(Thallium)’의 새로운 지능형지속위협(APT) 공격 징후가 포착됐습니다. 탈륨은 일명 김수키(Kimsuky)라는 이름으로도 알려져 있습니다. ESRC는 11월에 제작된 신규 악성파일이 지난 2019년 12월 04일 '김수키 조직, 청와대 녹지원/상춘재 행사 견적서 사칭 APT 공격' 제목의 【블루 에스티메이트(Blue Estimate)】 APT 캠페인 시리즈로 확인했습니다. 현재 위협 행위자는 한국 과학기술연구, 방위산업 등 멀티 APT 공격을 수행 중입니다. 이들은 다양한 분야에 대한 사이버 위협활동을 지속하고 있으며, 그 활성도가 매우 높은 상태..

악성코드 분석 리포트 2020. 11. 12. 01:48

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 11월 01일~11월 07일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 73건이고 그중 악성은 33건으로 45.21%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 56건 대비 33건으로 23건이 감소했습니다. 일일 유입량은 하루 최저 1건(악성 1건)에서 최대 20건(악성 10건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 33건 중 Attach-Malware형이 57.6%로 가장 많았고 뒤이어 Link-Malware형이 ..

악성코드 분석 리포트 2020. 11. 10. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 개요 코로나19가 여전히 맹위를 떨치고 있습니다. 국민들의 바뀐 생활 환경에 발맞추어 스미싱 공격자들도 적응을 하고 있는 것으로 보입니다. 이전과는 다른 생활 환경에 대다수 국민들의 생활 패턴도 바뀌어 생필품과 외식은 온라인을 통하는 것이 일상이 되었습니다. 이런 바뀐 생활 패턴에 택배는 코로나19 이전 상황과 비교할 수 없을 정도로 급증했으며 스미싱 공격자들도 이런 특징들을 공격에 활용하고 있습니다. 10월 스미싱 트렌드 ESRC에서 수집 한 10월의 스미싱 공격을 데이터와 통계를 통해 살펴보도록 하겠습니다. 10월 한 달간 수집된 스미싱을 키워드로 분류하면 다음 표와 같습니다. [표 1] 수집 스미싱 문자들의 키워드 기반 분류 위 표를..

악성코드 분석 리포트 2020. 11. 9. 18:01

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 랜섬웨어를 가장하여 사용자에게 비트코인을 요구하는 악성코드가 발견되어 주의가 필요합니다.공격자는 ‘2020~2021 학교 생활 안내서 (개정안).pdf.exe‘ 파일명으로 pdf파일로 위장하여 유포합니다. [그림 1] 악성코드 파일 화면 코드 분석 이 파일은 바탕화면, 다운로드, 문서 폴더에 있는 모든 파일들을 대상으로 확장자’.KRYPT’를 변경합니다. 이때 cmd 명령어 ‘ren’을 이용합니다. 즉 파일 암호화는 진행되지 않습니다. [그림 1] 확장자 변경 코드 파일 확장자를 변경한 이후, 다음과 같은 비트코인 주소 안내와 키 입력란이 포함된 랜섬 노트 화면을 보여줍니다. [그림 2] 랜섬 노트 화면 확장자 복원 키 ‘mxkxhxbxgxtxjx7x..

악성코드 분석 리포트 2020. 11. 6. 09:36

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 2020년 11월 03일 마치 미국 대선 예측과 관련된 언론사 문건처럼 위장한 악성 HWP 문서 파일이 바이러스 토탈 서비스에 등록된 것이 확인 됐습니다. [그림 1] 바이러스 토탈 구글 서비스에 등록된 악성 파일 화면 해당 악성 파일은 얼마 남지 않은 미국 대선 예측이라는 테마를 시기적절하게 사용했으며, 다음과 같은 형식을 가지고 있습니다. 파일 이름 파일 크기 마지막 저장 계정 마지막 수정 날짜 미국 대선 예측 - 미주중앙일보.hwp 36,352 바이트 Admin 2020-11-01 11:23:35 (KST) 그동안 악성 HWP 문서는 주로 포스트 스크립트(Post Script) 취약점과 셸코드(Shellcode)를 결합한 공격이 상대적으..

악성코드 분석 리포트 2020. 11. 4. 02:37