안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 저희는 국내 통일분야 기관을 사칭해 수행되는 이른바 '페이크 스트라이커(Fake Striker) 위협 캠페인' 배후가 작년 말 미국 법원에 고소장이 제출된 탈륨 조직과 직간접 연계 가능성이 높다고 판단 중입니다. 이들은 현재도 활발한 사이버 위협활동 모습을 보이고 있으며, 한국내 주요 기관이나 학회 관계자 등으로 위장해 공격을 집중하고 있습니다. 특히 국내에서 많이 이용하는 hwp, doc 등의 문서 파일 내부에 악의적 코드를 삽입한 후, 감염 대상자 별 이메일로 직접 전달하는 수법을 사용하고 있습니다. 따라서 업무상 특별히 보안이 중요하신 분들은 이메일 접근에 각별한 주의가 요구됩니다. 지인 사이라도 평소 자주 연락이 없었거나 사전에 통보 ..

악성코드 분석 리포트 2020. 7. 25. 10:20

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 한동안 해외에서만 발견되고, 국내 보고가 소강상태 였던 일명 '이모텟(Emotet)' 악성파일이 7월 말 현재 다시 국내에 유입되고 있어 이용자 분들의 각별한 주의가 필요합니다. 주로 이메일의 첨부 파일과 본문의 URL 링크 클릭 방식으로 감염을 유도하고 있습니다. 알약 블로그에선 지난 1월 말 ▲'사용자 데이터 탈취 협박 메일로 유포중인 Emotet 악성코드 주의!', ▲'특정 통신사업자를 사칭한 피싱 메일로 Emotet 악성코드 유포중!' 등의 내용을 공개한 바 있습니다. 이번에 새롭게 발견된 유형도 기존이랑 큰 차이는 없습니다만, 이메일 본문 내용이 계속 변화되고 있으므로 조금이라도 의심스러운 이메일은 가급적 접근하지 않는 것이 바람직 ..

악성코드 분석 리포트 2020. 7. 22. 23:08

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 앞으로 자체 운영 중인 이메일 모니터링 시스템을 통해 유입된 이메일에 대한 통계 정보를 제공하고자 합니다. 지난주(7월 12일~19일)까지의 이메일 통계 정보는 다음과 같습니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 181건이고 그중 악성은 103건을 차지했습니다. 이는 지지난주 172건 대비 69건(-40%)이 줄어든 수치입니다. 일일 수집량은 하루 최저 3건(악성 1건)에서 최대 46건(악성 25건)으로 주로 평일에 유입되는 것을 확인할 수 있습니다. 2. 이메일 유형 악성 이메일 103건 중 Attach-Malware형이 55%로 가장 많았고 뒤이어 Attach-Phishing형이 29%를 차지했습니다. 3. 첨부파..

악성코드 분석 리포트 2020. 7. 22. 09:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. '전쟁과여성인권박물관'은 18일(토) 공식 홈페이지 안내를 통해 해킹 메일 발송 관련 주의 공지를 게시 하였습니다. 안녕하세요. 전쟁과여성인권박물관입니다.저희 전쟁과여성인권박물관 다음 메일 계정(war_women@hanmail.net)이 해킹을 당하여 많은 분들께 대량 스팸 메일이 발송되었습니다. 위 박물관 계정으로 발송된 '견적서 요청'이라는 제목의 메일은 내용 확인하지 마시고 삭제 조치하시길 당부드립니다. [그림 1] 전쟁과여성인권박물관 홈페이지 공지사항 화면 더불어 언론사 등을 통해 주의내용이 안내되고 있습니다. [연합뉴스] 일본군 위안부 박물관 사칭 이메일 유포…경찰, 주의 당부https://www.yna.co.kr/view/AKR20..

악성코드 분석 리포트 2020. 7. 19. 11:08

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 해당 악성 앱은 스미싱을 통해서 꾸준히 유포되는 종류 중 하나로 기존 악성 앱은 암호화를 통해서 덱스 파일을 숨겼다면, 해당 악성 앱은 kiwi패커를 이용하여 덱스 파일을 숨겼습니다. 언팩된 덱스 파일의 악성 행위는 이전 버전과 비슷하지만, 코드가 조금 더 정교해졌고 수집한 정보는 웹 소켓을 이용하여 탈취합니다. 택배 앱을 사칭하며 다수의 기기 정보와 녹음, 주소록, 문자 등의 개인정보를 탈취하고 원격으로 기기를 조종하여 문자 메시지를 전송합니다. [그림] 메시지 앱 변경 요구 팝업 해당 악성 앱은 전형적인 택배 스미싱으로 유포됐으며 C2와의 통신을 이용하여 기기 정보와 녹음, 주소록, 문자 정보 등을 탈취하고 탈취한 개인정보를 이용하여 ..

악성코드 분석 리포트 2020. 7. 17. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 국내에 견적 송장 확인 메일로 ‘Spyware.Infostealer.Azorult’(이하 Azorult)가 유포되고 있습니다. 공격자는 아래의 메일을 통해 사용자에게 첨부된 ‘PI.001’ 압축 파일 실행을 유도합니다. ‘PI.001’ 안에는 ‘PI.exe 실행 파일이 있고, 이를 실행하게 되면 사용자 정보를 탈취하는 Azorult 악성코드에 감염됩니다. [그림] 이메일 화면 ‘Spyware.Infostealer.Azorult’는 C&C에 사용자 PC 정보로 생성한 감염 ID를 전송한 후 공격자의 명령에 따라 브라우저 사용자 정보, 히스토리 정보, 암호화폐 지갑 정보, FTP, Mail, 메신저 정보 등 사용자의 다양한 정보를 탈취하..

악성코드 분석 리포트 2020. 7. 16. 09:00

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2020년 1월부터 6월까지 상반기 기간동안 ESRC 내부적으로 운영하고 있는 이메일 모니터링 시스템을 통해 확인한 악성 이메일 위협 관련 특징 및 통계에 대해 정리해보았습니다. 1. 2020년 상반기 수집된 이메일 통계 [그림 1] 2019년 하반기 및 2020년 상반기에 수집된 이메일 통계 2020년 상반기 수집된 이메일은 총 4,704건으로 지난해 하반기 6,611건 보다 무려 28%가 줄었습니다. 이는 2019년 하반기부터 2020년 2월까지 다수 유포되었던 Emotet과 TA505 Campaign의 영향으로 볼 수 있습니다. [그림 2] 2020년 상반기에 수집된 월별 이메일 통계 2020년 상반기 유입량을 월별로 살펴보면 1분기동안 유..

악성코드 분석 리포트 2020. 7. 8. 17:46

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 7월 6일부터 ‘국민 건강 검진 통지서입니다. 자세한 내용을 확인’이라는 내용의 스미싱이 급속도로 유포되고 있어 주의가 요구됩니다. [그림 1] 국민 건강 검진 통지서로 사칭한 스미싱 ‘국민 건강 검진’ 사칭 스미싱은 지난주부터 유포되었던 수사기관을 사칭한 ‘사이버수사대 사건 처리결과 통보’라는 내용의 스미싱과 함께 유포가 이뤄지고 있습니다. 이전 스미싱과 다른 부분은 개인정보를 입력받는 페이지로 이동시키는 형태가 아닌 클라우드 서비스를 활용하여 악성앱을 설치하도록 유도하는 부분입니다. 서로 다른 스미싱 공격이었으나 동일한 클라우드 서비스를 활용하였고, 동일한 악성앱을 설치 시도한 것으로 미루어 봤을 때, 동일한 조직이 동시다발적으로 여러가지 소..

악성코드 분석 리포트 2020. 7. 8. 12:30