안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 2020년 하반기에 들어서면서 HWP 문서파일 공격기법에 변화가 감지되고 있습니다. 기존에 많이 쓰이던 포스트스크립트(PostScript) 방식에서 오브젝트 연결 삽입(OLE) 방식으로 변화되고 있습니다. 참고로 OLE란 'Object Linking and Embedding' 약자로서 객체 연결 및 삽입을 뜻하는데, 한컴에서는 대신 라는 표현을 사용합니다. 그리고 복합 파일 이진 형식(CFBF : Compound File Binary Format)이라고도 불립니다. ESRC는 2020년 12월 위협 행위자가 사용한 대표적 사례를 심층적으로 기술해 보고자 합니다. 1. 초기 침투 과정 요약 □ 1단계 : 궁금증을 유발하는 이메일을 전달 대부분의..

악성코드 분석 리포트 2020. 12. 16. 00:34

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 12월 06일~12월 12일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 189건이고 그중 악성은 47건으로 24.87%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 45건 대비 47건으로 2건이 증가했습니다. 일일 유입량은 하루 최저 2건(악성 1건)에서 최대 54건(악성 23건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 47건 중 Attach-Phishing형이 53.2%로 가장 많았고 뒤이어 Attach-Malware..

악성코드 분석 리포트 2020. 12. 15. 09:30

안녕하세요. 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 최근 ‘탈륨’과 ‘금성121'등 북한 연계 조직의 소행으로 추정되는 APT 공격이 연이어 발견되고 있어 주의가 필요합니다. 이번에 새롭게 발견된 APT 공격은 통일부 사칭 악성 이메일 공격과 평화 통일 관련 이야기 공모전 신청서를 사칭한 악성 HWP 문서 공격입니다. [그림] 통일부 자료 사칭 이메일과 통일 관련 공모전 신청서 사칭 HWP 파일 먼저 통일부 사칭 공격은 악성 문서 파일을 첨부한 이메일을 발송해 수신자가 파일을 열어보도록 현혹하는 전형적인 스피어피싱 공격처럼 보이지만 실제로는 첨부파일이 아닌 악성 링크를 활용한 공격입니다. 공격자가 발송한 이메일 본문에는 통일부에서 정식 발행한 것처럼 정교하게 조작된 문서 첫 장의 이미지가 삽입되..

악성코드 분석 리포트 2020. 12. 9. 13:41

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 한 부품 수출 기업을 사칭하여 국내 유명 포털사이트 계정을 노리는 피싱 메일이 유포되고 있어 사용자의 주의가 필요합니다. 이번에 발견된 메일은 “PRD Tech 견적”이라는 제목으로 수신되었으며 사업자 등록증 첨부 파일 확인 후 견적 요청을 보내달라는 내용으로 사용자 클릭을 유도하여 사용자의 포털 사이트 계정을 탈취하기 위한 목적으로 발송되었습니다. [그림 1] 포털사이트 계정 탈취를 위한 피싱 공격 이메일 화면 첨부 파일에는 '사업자등록증.pdf', '견적 ROQ-283631.PDF.htm', '견적 ROQ-283631.zip'과 같은 파일명이 사용되었고, zip 파일 내 포함되어 있는 'Dongwoo Estimate.htm' 파일은 '견적 ROQ-..

악성코드 분석 리포트 2020. 12. 8. 15:24

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 11월 29일~12월 05일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 143건이고 그중 악성은 43건으로 30.07%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 38건 대비 43건으로 5건이 증가했습니다. 일일 유입량은 하루 최저 3건(악성 1건)에서 최대 42건(악성 16건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형악성 이메일을 유형별로 살펴보면 43건 중 Attach-Malware형이 67.4%로 가장 많았고 뒤이어 Attach-Phishing형..

악성코드 분석 리포트 2020. 12. 8. 09:30

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 개요 코로나19가 3차 팬데믹 국면을 맞이하고 있습니다. 국민들은 지속되는 전염병 위험에 지쳐가고 있지만 스미싱 공격자들은 지속적으로 공격을 진행하고 있습니다. 바뀐 생활 패턴에 택배 주문이 급증했으며 스미싱 공격자들도 이런 특징들을 공격에 활용하고 있습니다. 11월 스미싱 트렌드 ESRC에서 수집 한 11월의 스미싱 공격을 데이터와 통계를 통해 살펴보도록 하겠습니다. 11월 한 달간 수집된 스미싱을 키워드로 분류하면 다음 표와 같습니다. 키워드 SMS 내용 택배 택배 도착 등의 문구로 구성 건강검진 건강 검진 결과 등의 문구로 구성 금융 대출과 연관된 문구로 구성 수사기관 수사 기관을 사칭 [표 1] 수집 스미싱 문자들의 키워드 기반 분..

악성코드 분석 리포트 2020. 12. 4. 15:59

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 LINE WORKS '메일함 용량 초과' 경고로 위장한 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다. [그림 1] '메일함 용량 초과' 경고로 위장한 피싱 메일 발견된 공격은 메일 수신자가 관심을 가질만한 내용의 이메일을 발송해, 첨부된 악성 링크를 클릭하도록 유도하는 전형적인 ‘스피어 피싱’ 방식입니다. 기존 이메일 스피어 피싱 공격에는 압축 파일이나 마이크로소프트(MS) 워드(WORD) 문서 형태의 악성 파일이 첨부되는 방식이 일반적이지만, 이번에 발견된 이메일 내부에는 별도의 파일이 첨부되지 않았으며 이미지 외 텍스트로 작성된 내용도 포함되지 않았습니다. '웹 메일 알림'이라는 제목으로 전송된 이메일 본문에 삽입되어 있는 이미지 상단에..

악성코드 분석 리포트 2020. 12. 2. 13:46

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 11월 22일~11월 28일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 156건이고 그중 악성은 37건으로 23.72%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 42건 대비 37건으로 5건이 감소했습니다. 일일 유입량은 하루 최저 3건(악성 1건)에서 최대 37건(악성 10건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 37건 중 Attach-Malware형이 54.1%로 가장 많았고 뒤이어 Attach-Phishing..

악성코드 분석 리포트 2020. 12. 1. 09:30