안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 해당 악성 앱은 스미싱을 통해서 꾸준히 유포되는 종류 중 하나로 기존 악성 앱은 암호화를 통해서 덱스 파일을 숨겼다면, 해당 악성 앱은 kiwi패커를 이용하여 덱스 파일을 숨겼습니다. 언팩된 덱스 파일의 악성 행위는 이전 버전과 비슷하지만, 코드가 조금 더 정교해졌고 수집한 정보는 웹 소켓을 이용하여 탈취합니다. 택배 앱을 사칭하며 다수의 기기 정보와 녹음, 주소록, 문자 등의 개인정보를 탈취하고 원격으로 기기를 조종하여 문자 메시지를 전송합니다. [그림] 메시지 앱 변경 요구 팝업 해당 악성 앱은 전형적인 택배 스미싱으로 유포됐으며 C2와의 통신을 이용하여 기기 정보와 녹음, 주소록, 문자 정보 등을 탈취하고 탈취한 개인정보를 이용하여 ..

악성코드 분석 리포트 2020. 7. 17. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 국내에 견적 송장 확인 메일로 ‘Spyware.Infostealer.Azorult’(이하 Azorult)가 유포되고 있습니다. 공격자는 아래의 메일을 통해 사용자에게 첨부된 ‘PI.001’ 압축 파일 실행을 유도합니다. ‘PI.001’ 안에는 ‘PI.exe 실행 파일이 있고, 이를 실행하게 되면 사용자 정보를 탈취하는 Azorult 악성코드에 감염됩니다. [그림] 이메일 화면 ‘Spyware.Infostealer.Azorult’는 C&C에 사용자 PC 정보로 생성한 감염 ID를 전송한 후 공격자의 명령에 따라 브라우저 사용자 정보, 히스토리 정보, 암호화폐 지갑 정보, FTP, Mail, 메신저 정보 등 사용자의 다양한 정보를 탈취하..

악성코드 분석 리포트 2020. 7. 16. 09:00

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2020년 1월부터 6월까지 상반기 기간동안 ESRC 내부적으로 운영하고 있는 이메일 모니터링 시스템을 통해 확인한 악성 이메일 위협 관련 특징 및 통계에 대해 정리해보았습니다. 1. 2020년 상반기 수집된 이메일 통계 [그림 1] 2019년 하반기 및 2020년 상반기에 수집된 이메일 통계 2020년 상반기 수집된 이메일은 총 4,704건으로 지난해 하반기 6,611건 보다 무려 28%가 줄었습니다. 이는 2019년 하반기부터 2020년 2월까지 다수 유포되었던 Emotet과 TA505 Campaign의 영향으로 볼 수 있습니다. [그림 2] 2020년 상반기에 수집된 월별 이메일 통계 2020년 상반기 유입량을 월별로 살펴보면 1분기동안 유..

악성코드 분석 리포트 2020. 7. 8. 17:46

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 7월 6일부터 ‘국민 건강 검진 통지서입니다. 자세한 내용을 확인’이라는 내용의 스미싱이 급속도로 유포되고 있어 주의가 요구됩니다. [그림 1] 국민 건강 검진 통지서로 사칭한 스미싱 ‘국민 건강 검진’ 사칭 스미싱은 지난주부터 유포되었던 수사기관을 사칭한 ‘사이버수사대 사건 처리결과 통보’라는 내용의 스미싱과 함께 유포가 이뤄지고 있습니다. 이전 스미싱과 다른 부분은 개인정보를 입력받는 페이지로 이동시키는 형태가 아닌 클라우드 서비스를 활용하여 악성앱을 설치하도록 유도하는 부분입니다. 서로 다른 스미싱 공격이었으나 동일한 클라우드 서비스를 활용하였고, 동일한 악성앱을 설치 시도한 것으로 미루어 봤을 때, 동일한 조직이 동시다발적으로 여러가지 소..

악성코드 분석 리포트 2020. 7. 8. 12:30

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 중앙 행정기관 계정 탈취를 위해 접근하는 피싱 공격이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 "[System Administrator]-Notice!" 라는 제목으로 수신되었으며 메일 계정이 중지되었으니 이를 취소하려면, 본문에 기재된 링크를 클릭하라는 허위 내용으로 수신자의 클릭을 유도하고 계정을 탈취하기 위한 목적으로 발송되었습니다. [그림 1] 특정 행정기관의 계정 탈취를 위한 피싱 공격 이메일 메일을 수신한 사용자가 계정 중지를 해제하기 위해 메일 본문에 기재된 링크를 클릭할 경우, 계정과 패스워드를 가로채기 위한 피싱 페이지로 이동합니다. 클릭 시 바로 피싱 페이지로 이동하지 않으며, 1차 리다이렉트 페이지로 이동하..

악성코드 분석 리포트 2020. 7. 7. 13:53

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 7월 1일부터 '코로나19 7월 추가 재난지원금 신청' 키워드를 활용한 스미싱 공격이 유포되고 있어 주의가 필요합니다. 코로나19 위기 극복을 위한 정부 지원 정책인 '긴급 재난지원금'은 이미 지난 4월부터 지방자치단체를 시작으로 중앙정부까지 시장을 활성화하기 위한 긴급대책으로 많은 사람들의 관심을 모았습니다. 또한 이러한 이슈를 악용하여, 몇차례 '코로나19 재난지원금' 이슈를 악용한 스미싱 공격이 포착되기도 했습니다. ※ 관련 글 보기▶ 코로나19 '긴급재난지원금 신청' 노린 스미싱 공격 본격화 예상돼 (20.5.12)▶ 코로나 이슈 '긴급재난자금' 상품권을 사칭한 스미싱 공격 주의! (20.04.09)▶ Smishing 스미싱 트렌드 분석 ..

악성코드 분석 리포트 2020. 7. 3. 08:11

▶ 위협 배경 안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 미국 마이크로소프트(MS)사는 작년 12월 말, 해킹 그룹인 ‘탈륨(Thallium)’을 고소하고, 그들이 악용한 웹 사이트 도메인을 통제했다고 전한 바 있습니다. Microsoft takes court action against fourth nation-state cybercrime grouphttps://blogs.microsoft.com/on-the-issues/2019/12/30/microsoft-court-action-against-nation-state-cybercrime/ 특정 정부와 연계된 것으로 알려진 탈륨이라는 해킹 그룹명은 김수키라는 조직명으로도 널리 알려져 있습니다. 이들 조직은 최근까지도 'Windows ..

악성코드 분석 리포트 2020. 6. 30. 09:09

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 들어 기업 담당자의 계정을 노리는 피싱 메일들이 다양한 형태로 변화되고 있으며, 개인정보 수집(로그인 정보)을 목표로 하고 있기 때문에 기업 사용자들의 주의가 필요합니다. 기업 담당자의 계정을 노리는 피싱 메일들은 발주, 견적, 구매 등 업무와 관련된 내용 또는 메일의 용량 초과, 비밀번호 변경, 계정 차단, 비로그인 활동 등의 경고성 메일로 구분할 수 있습니다. [그림 1] 발주, 견적, 구매 등 업무 관련 피싱 이메일 [그림 2] 용량 초과, 계정 차단 등 경고 관련 피싱 이메일 다양한 피싱 메일들은 기업 담당자들의 계정 탈취가 목적이기 때문에 본문에 기재된 링크나 첨부 파일 실행 시, 계정과 패스워드를 입력하는 로그인 페이지로 이동합..

악성코드 분석 리포트 2020. 6. 26. 13:52