안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 기업 담당자의 계정을 노리는 피싱 메일들이 발견되고 있어 기업 담당자들의 주의가 필요합니다. 이번에 발견된 메일은 “Urgent order”라는 제목으로 수신되었으며 긴급하게 주문을 넣었으니 첨부된 파일을 확인하라는 내용으로 사용자의 클릭을 유도하여 기업 담당자의 계정을 탈취하기 위한 목적으로 발송되었습니다. [그림1] 특정 기업 담당자 계정 탈취를 위한 피싱 공격 이메일 화면 사용자가 긴급하게 들어온 주문을 확인하기 위해 첨부 된 파일을 다운로드하여 실행 할 경우 계정과 패스워드를 가로채기 위한 피싱 페이지가 브라우저로 연결됩니다. [그림2] 브라우저로 동작 된 피싱 페이지 화면 사용자가 피싱 페이지에 기업 계정과 패스워드를 입력할 경우 모두 개인 ..

악성코드 분석 리포트 2020. 9. 24. 11:33

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 09월 13일~09월 19일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 416건이고 그중 악성은 139건으로 33.41%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 122건 대비 139건으로 17건이 증가했습니다. 일일 유입량은 하루 최저 27건(악성 10건)에서 최대 81건(악성 45건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 139건 중 Attach-Malware형이 88.5%로 가장 많았고 뒤이어 Attach-P..

악성코드 분석 리포트 2020. 9. 23. 09:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 09월 06일~09월 12일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 436건이고 그중 악성은 101건으로 23.17%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 117건 대비 101건으로 16건이 감소했습니다. 일일 유입량은 하루 최저 38건(악성 1건)에서 최대 86건(악성 26건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 101건 중 Attach-Malware형이 84.2%로 가장 많았고 뒤이어 Attach-Ph..

악성코드 분석 리포트 2020. 9. 16. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 해당 악성 앱은 사이버 검찰청 사칭 스미싱을 통해서 유포되었으며 SO 파일을 이용하여 C2를 암호화하고 숨깁니다. 구글 플레이스토어와 비슷한 아이콘을 이용해서 사용자를 속이며 기기 정보와 문자 메시지 관련 정보를 탈취합니다. 앱 명은 ‘App Stare’를 사용하며 아이콘은 구글 플레이스토어를 사칭합니다. 앱 실행 시 초기화 단계에서 SO 파일을 로드하며 기기 부팅 시 재시작되도록 설정돼 있습니다. [그림] 앱 아이콘 해당 악성 앱은 사이버 검찰청을 사칭한 스미싱으로 유포됐습니다. SO 파일을 이용하여 C2를 숨기고 있으며 기기 정보와 문자 정보를 탈취합니다. 따라서, 악성 앱으로부터 피해를 최소화하기 위해서는 백신 앱을 통한 주기적인 검..

악성코드 분석 리포트 2020. 9. 16. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 브라우저, Messenger 등의 애플리케이션에 사용되는 Credential 정보, 암호 화폐 지갑 정보, 실행 화면, 웹캠, 클립보드 등 사용자 PC에서 정보를 유출하는 ‘RezoStealer’ 인포스틸러가 발견되어 사용자들의 주의가 필요합니다.[그림] 감염 PC 정보 탈취 코드 중 일부 ‘RezoStealer’는 사용자 PC에서 Credential 정보를 탈취하여 C&C로 전송하는 악성코드입니다. 특징적으로 주목할 만한 기능에는 암호화폐 지갑과 함께 PC에 연결된 USB와 바탕화면 경로에 있는 파일을 수집하는 기능이 있다. 수집하는 파일 확장자 목록에는 ‘.cs’, ‘.sln’ 등이 포함되어 있어, 애플리케이션 제작 소스가 유출될 가능..

악성코드 분석 리포트 2020. 9. 15. 09:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 08월 30일~09월 05일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 463건이고 그중 악성은 137건으로 29.59%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 125건 대비 137건으로 12건이 증가했습니다. 일일 유입량은 하루 최저 44건(악성 9건)에서 최대 88건(악성 47건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 137건 중 Attach-Malware형이 81.0%로 가장 많았고 뒤이어 Attach-Ph..

악성코드 분석 리포트 2020. 9. 8. 14:15

◇ 탈륨(Thallium) 해킹 조직 위협 배경 안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 저희는 2020년 07월 25일 【미국 MS가 고소한 탈륨 그룹, 대한민국 상대로 '페이크 스트라이커' APT 캠페인 위협 고조】라는 스페셜 리포트를 공개한 바 있습니다. 미국 현지 시점으로 지난 08월 26일 마이크로소프트(MS)사는 '탈륨' 해킹조직에 대해 피고인이 출정하지 않은 공석상태에서 진행하는 궐석재판을 요청하였고, 이들이 사용한 이메일 주소에 수차례 소환장을 보냈다고 밝혔습니다. 흥미롭게도 해당 이메일 중 일부는 MS 고소장 공개 이전 시점에 소개한 알약 블로그 분석내용의 계정과 정확히 일치합니다. 탈륨 이메일 주소 블로그 연관 정보 bitcoin024@hanmail.net bitc..

악성코드 분석 리포트 2020. 9. 3. 09:58

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 최근 이모텟 악성코드가 국내 외로 유포되고 있어 이용자들의 주의 부탁드립니다. 공격자는 불특정 다수를 대상으로 이메일, 메시지를 통하여 이모텟 악성코드를 유포중입니다. 실제 악성 행위 수행하는 파일 유포 방법은 스크립트가 삽입된 악성 문서 파일을 첨부하거나 특정 URL로 클릭을 유도하여 최종 페이로드 다운로드를 유도합니다. [그림 1] 첨부파일이 포함된 이모텟 유포 악성 메일 [그림 2] 링크가 포함된 이모텟 악성 메일 유형 악성 문서 파일을 첨부하여 유포된 경우, 아래와 같은 3가지 케이스로 위장하여 유포되며 파워셸을 통하여 악성코드를 다운로드하는 스크립트가 첨부되어 있습니다. [그림 3] 악성 문서 템플릿 1 [그림 4] 악성 문서 템플릿 ..

악성코드 분석 리포트 2020. 9. 1. 17:02