안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 11월 15일~11월 21일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 134건이고 그중 악성은 42건으로 31.34%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 66건 대비 42건으로 24건이 감소했습니다. 일일 유입량은 하루 최저 4건(악성 1건)에서 최대 37건(악성 12건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 42건 중 Attach-Malware형이 78.6%로 가장 많았고 뒤이어 Attach-Phishin..

악성코드 분석 리포트 2020. 11. 24. 09:30

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 2020년 한해 대한민국은 다양한 사이버 침해사고를 당했고, 아직도 크게 나아지진 않았습니다. 북한, 중국 등이 배후로 의심되거나 실제 연계된 것으로 조사된 정부차원의 사이버 안보 위협은 이제 일상화 됐다해도 전혀 과언이 아닙니다. 이런 위협은 한국의 발전된 인터넷 인프라와 함께 우리 실생활 가깝게 도사리고 있지만, 사이버 공간의 특성상 쉽게 인지하거나 체감할 수 없습니다. 따라서 평소 보안의 중요성과 경각심을 유지하는건 어찌보면 어려운 것이 당연합니다. 해당 유형의 초기 침해사고는 내부 기밀자료 탈취 목표로 주로 정부나 공공기관, 기반시설에 집중된 경향이 있었지만 지금은 각종 민간단체와 특정기업을 넘어 불특정 다수의 국민들까지 위협에 노출되..

악성코드 분석 리포트 2020. 11. 22. 17:32

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 해당 악성 앱은 xloader 유형으로 최근 스미싱을 통해서 유포되고 있습니다. 다운로드 단계부터 앱 설치까지 탐지 회피를 위해서 다양한 방법을 사용합니다. 다운로드 단계에서는 url 리디렉션을 통해서 난독화 된 자바스크립트나 클라우드 서비스를 이용합니다. 앱 설치 이후 단계에서는 숨겨진 악성코드가 들어 있는 파일을 복호화 후 동적 로딩을 이용합니다. [그림] 클라우드를 활용한 악성 앱 배포 해당 악성 앱은 유포 단계에서부터 탐지 회피를 위하여 다양한 방법을 활용하면서 스미싱으로 유포됐습니다. 자바스크립트 난독화와 파일 암호화를 통해서 탐지를 회피하며 기기를 완전히 장악하고 개인 정보와 기기 정보를 탈취합니다. 따라서, 악성 앱으로부터 피..

악성코드 분석 리포트 2020. 11. 18. 09:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 최근 ‘바이든 시대 북한 비핵화 협상과 북한 체제 안전 보장 문제’ 내용 문건으로 사칭한 악성 파일이 발견되어 각별한 주의가 필요합니다. [그림1] 바이든 시대 북한 비핵화 내용 등으로 현혹하는 악성 문서 화면 새롭게 발견된 악성 파일은 마이크로소프트(MS) 워드 문서 형태로 유포되고 있으며, 이메일에 문서 파일을 다운로드할 수 있는 인터넷 주소(URL)를 기재해 수신자가 내려받도록 유도하는 방식입니다. 이 URL은 마치 국내 특정 포털 회사의 인터넷 주소처럼 비슷하게 위조되어, 수신자가 공식 사이트로 생각하고 의심 없이 위조 웹사이트를 통해 악성 문서를 내려 받도록 설계되어 있습니다. 만약 메일 수신자가 위조 웹사이트에서 악성 문서 파일을 ..

악성코드 분석 리포트 2020. 11. 17. 15:57

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 국내 기업에 [사람인] 입사지원서를 위장한 메일이 유포되었습니다. 공격자는 아래의 메일을 통해 이용자에게 'Permission_301859804_09172020.zip' 첨부파일 실행을 유도합니다. 'Permission_301859804_09172020.zip' 에는 'Permission_301859804_09172020.xls' 엑셀파일이 있고, 이를 실행하게 되면 Trojan.Agent.QakBot(이하 Qbot) 뱅킹 트로이목마 악성코드에 감염됩니다. [그림] 수신된 이메일 화면 본 악성코드는 C&C에서 브라우저, 뱅킹 정보 탈취 관련 추가 모듈 등을 다운받는 것으로 알려져 있어, 특히 기업체에서 감염이 되는 경우 큰 피해가 발..

악성코드 분석 리포트 2020. 11. 17. 13:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 11월 08일~11월 14일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 212건이고 그중 악성은 63건으로 29.72%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 0건 대비 63건으로 63건이 증가했습니다. 일일 유입량은 하루 최저 8건(악성 5건)에서 최대 77건(악성 16건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 63건 중 Attach-Malware형이 79.4%로 가장 많았고 뒤이어 Attach-Phishing..

악성코드 분석 리포트 2020. 11. 17. 09:30

안녕하세요. ESRC(시큐리티 대응센터)입니다. 현재 이력서를 위장한 Makop랜섬웨어가 대량 유포 중인 정황이 발견되어 사용자들의 주의가 필요합니다.공격자는 이력서를 위장하여 악성파일이 첨부된 파일을 전송합니다. [그림 1] 이력서 위장 이메일 화면 [그림 2] 첨부 파일 코드 분석 첨부파일은 pdf 아이콘을 가지고 있으며 사용자에게 문서파일인 것으로 위장하지만 해당 파일은 exe 파일로 실행 파일을 암호화하는 랜섬웨어 행위를 수행합니다. 먼저, Windows 시점 복원을 방지하기 위해 'cmd.exe'를 이용하여 볼륨 섀도를 삭제합니다. [그림 3] 볼륨 섀도 삭제 화면 또한, 현재 사용자가 접근 중이거나 프로세스에서 사용되는 파일을 암호화시키기 위해 현재 로컬에서 실행 중인 프로세스들을 확인하여 종..

악성코드 분석 리포트 2020. 11. 16. 15:52

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 2019년 말 미국 마이크로소프트(MS)사가 고소하면서 알려진 북한 연계 해킹그룹 ‘탈륨(Thallium)’의 새로운 지능형지속위협(APT) 공격 징후가 포착됐습니다. 탈륨은 일명 김수키(Kimsuky)라는 이름으로도 알려져 있습니다. ESRC는 11월에 제작된 신규 악성파일이 지난 2019년 12월 04일 '김수키 조직, 청와대 녹지원/상춘재 행사 견적서 사칭 APT 공격' 제목의 【블루 에스티메이트(Blue Estimate)】 APT 캠페인 시리즈로 확인했습니다. 현재 위협 행위자는 한국 과학기술연구, 방위산업 등 멀티 APT 공격을 수행 중입니다. 이들은 다양한 분야에 대한 사이버 위협활동을 지속하고 있으며, 그 활성도가 매우 높은 상태..

악성코드 분석 리포트 2020. 11. 12. 01:48