안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 10월 11일~10월 17일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 126건이고 그중 악성은 68건으로 53.97%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 22건 대비 68건으로 46건이 증가했습니다. 일일 유입량은 하루 최저 1건(악성 1건)에서 최대 34건(악성 21건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 68건 중 Attach-Malware형이 60.3%로 가장 많았고 뒤이어 Attach-Phishin..

악성코드 분석 리포트 2020. 10. 21. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 바하무트는 의뢰를 받아 공격을 수행하는 조직으로 알려져 있습니다. 이 조직의 공격 목적은 때론 금전이었다가 어떤 때는 정치적인 목적을 위한 공격을 수행하기도 합니다. [그림] 악성 앱 설치 화면 분석 내용을 살펴보면 Spyware.Android.Bahamut는 피해자의 개인 정보 탈취를 주요 목적으로 하고 있음을 알 수 있습니다. 그리고 공격 대상이 다를 경우 대상에 맞추어 공격 코드의 변화가 있을 것으로 예측됩니다. 이런 공격은 부지불식간에 당하기 마련이기에 사용자의 예방 노력이 무엇보다 중요합니다. 앱 설치 시 본인의 스마트폰이 위협에 노출될 수 있음을 인지하고 주의를 기울여야 하며 알약M과 같은 신뢰할 수 있는 백신을 사용해야 합니다..

악성코드 분석 리포트 2020. 10. 21. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 통칭 ‘Dridex’ 라고 불리는 금융 정보 탈취 악성코드가 해외에서 기업을 대상으로 공격이 이루어졌습니다. 이 악성코드는 2014년부터 발견되어 최근까지도 대량 유포 중이며 이를 제작한 그룹은 뛰어난 기술력을 소유한 ‘Evil Corp’ 또는 ‘TA505’로 해킹 그룹의 소행으로 알려져 있습니다. 지난 9월 다음과 같은 메일이 수신되었습니다. 운송회사를 사칭한 메일로 연체된 송장을 확인하라는 내용입니다. [그림] 이메일 화면 특히 TA505그룹은 축적된 기술로 인하여 분석 및 탐지가 어려운 특징이 있습니다. 과거에는 국외에서 다량 유포되고 있지만 최근 국내 기업을 대상으로도 유포가 되고 있어 사용자들의 주의가 필요합니다. 따라서 이러한 ..

악성코드 분석 리포트 2020. 10. 20. 09:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 지난 08월 10일 구글 플레이 공식 마켓을 통해 안드로이드 기반 악성 암호화폐 지갑 앱(v1.0.4)이 일정기간 유포되었습니다. 이는 정상적인 소프트웨어 배포 절차에 위협요소를 추가 업데이트하는 일종의 공급망 공격 형태 입니다. 이 사건으로 인해 특정 암호화폐 이용자들의 코인이 무단 출금되는 피해가 다수 보고되었습니다. 한편 비슷한 시기 윈도우 운영체제 기반 지갑 설치 프로그램으로 사칭한 악성 파일 변종들도 발견되며, 관련 이슈에 대한 공지문이 다음과 같이 게시됩니다. 08월 31일부터 윈도우용 악성 파일도 유포되었고, 09월 24일에는 공격자가 직접 이메일로 악성 파일을 전파하는 등 공격은 일정 기간 지속되었습니다. 특히, 08월 31일 ..

악성코드 분석 리포트 2020. 10. 16. 20:21

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다.저희는 07월과 09월에 다음과 같은 탈륨 조직관련 포스팅을 공개한 바 있습니다. ▲ [스페셜 리포트] 미국 MS가 고소한 탈륨 그룹, 대한민국 상대로 '페이크 스트라이커' APT 캠페인 위협 고조 (2020-07-25)▲ 탈륨 조직, 개성공단 근무자 연구와 아태 연구 논문 투고로 사칭한 APT 공격 주의 (2020-09-03) 탈륨 조직의 지능형지속위협(APT) 공격이 여전히 지속되고 있으며, 지금도 활성도가 높은 상태입니다.최근 추가로 발견된 몇가지 사례를 살펴보고, 이들이 사용하는 공격기법을 알아보고자 합니다. ◇ 악성 DOC 문서 제작자가 사용한 계정 'like' 그리고... ESRC에서는 9월 중순부터 10월 초까지 탈륨 조직의 위협활..

악성코드 분석 리포트 2020. 10. 13. 22:09

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 10월 04일~10월 10일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 157건이고 그중 악성은 93건으로 59.24%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 148건 대비 93건으로 55건이 감소했습니다. 일일 유입량은 하루 최저 9건(악성 6건)에서 최대 35건(악성 25건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 93건 중 Attach-Malware형이 79.6%로 가장 많았고 뒤이어 Attach-Phishi..

악성코드 분석 리포트 2020. 10. 13. 17:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 09월 27일~10월 03일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 234건이고 그중 악성은 100건으로 42.74%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 139건 대비 100건으로 39건이 감소했습니다. 일일 유입량은 하루 최저 6건(악성 2건)에서 최대 72건(악성 36건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 100건 중 Attach-Malware형이 87.0%로 가장 많았고 뒤이어 Attach-Phi..

악성코드 분석 리포트 2020. 10. 7. 09:00

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 이력서로 위장한 Makop 랜섬웨어 유포 정황이 포착되어 기업 담당자들의 주의가 필요합니다. [그림 1] Makop 랜섬웨어 이메일 본문 첨부파일은 ZIP, LZH 이중 압축으로 되어 있으며 pdf로 위장되어 있는 ‘exe’ 파일임을 확인할 수 있습니다. [그림 2] pdf로 위장된 랜섬웨어 파일 이 파일은 설치 파일 NSIS로 제작되었으며 실행 시 암호화된 랜섬웨어 파일을 복호화하여 child 프로세스에 인젝션하는 형태를 가집니다. 이는 백신의 탐지로부터 우회하기 위한 행위로 보입니다. 섀도 볼륨을 삭제하기 위해 cmd.exe를 실행하여 파이프를 통해 명령을 전달합니다. [그림 3] 섀도 볼륨 삭제 명령 또한 특정 프로세스들을 종료시킵니..

악성코드 분석 리포트 2020. 10. 5. 11:37