안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 통칭 ‘WastedLocker’라 불리는 랜섬웨어는 기업을 대상으로 공격이 이루어지는 것으로 알려져 있습니다. 실제 지난달 7월 말 스마트워치와 웨어러블 기기 제조사인 가민(Gamin)이 랜섬웨어 공격을 받아 서비스 일부를 중단된 사례가 있습니다. 또한 이 랜섬웨어를 제작한 그룹은 뛰어난 기술력을 소유한 ‘Evil Corp’ 또는 ‘TA505’로 해킹 그룹의 소행으로 알려져 있습니다. [그림] 이메일 화면 이 악성코드는 로컬에 존재하는 파일을 암호화시켜 감염자에게 파일 복호화를 대가로 돈을 받는 랜섬웨어의 한 종류입니다. 파라미터를 통하여 기능을 구별하여 실행하고 NTFS의 ADS(Alternate Data Stream)을 이용하여 악성코..

악성코드 분석 리포트 2020. 8. 18. 09:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고자 합니다. 다음은 8월 2일~8월 9일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 455건이고 그중 악성은 140건을 차지했습니다. 이는 지지난주 84건 대비 56건(0.6%)이 증가한 수치입니다. 일일 수집량은 하루 최저 44건(악성 4건)에서 최대 83건(악성 32건)으로 확인할 수 있습니다. 2. 이메일 유형 악성 이메일 140건 중 Attach-Malware형이 68%로 가장 많았고 뒤이어 Link-Phishing형이 23%를 차지했습니다. 3. 첨부파일 종류 첨부파일은 ‘Downl..

악성코드 분석 리포트 2020. 8. 13. 13:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 국내 대형 포털 사이트 계정을 노리는 피싱 메일이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 피싱 메일은 “확인 바랍니다 입금”라는 제목으로 전파되었으며, 전자결제 서비스를 이용하여 결제된 내역이 담긴 “TT.doc (25K).htm” 파일이 첨부되어 수신자의 첨부파일 실행을 유도하고 있습니다. [그림 1] 국내 포털 사이트 계정을 노리는 피싱 메일 화면 피싱 메일에 첨부된 파일은 “TT.doc”로 doc의 문서처럼 보이지만 실제로는 “htm” 문서로 파일 실행 시 브라우저를 이용하여 피싱 페이지를 보여주게 됩니다. [그림 2] 국내 포털 사이트 피싱 페이지 화면 피싱 사이트에 계정과 비밀번호를 입력할 경우, 개인정보 수집 사이트로 ..

악성코드 분석 리포트 2020. 8. 7. 14:33

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고자 합니다. 다음은 7월 26일~8월 1일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 384건이고 그 중 악성은 84건을 차지했습니다. 이는 지지난주 96건 대비 12건(-0.12%)이 줄어든 수치입니다. 일일 수집량은 하루 최저 19건(악성 1건)에서 최대 84건(악성 33건)으로 확인되었습니다. 2. 이메일 유형 악성 이메일 84건 중 Attach-Malware형이 75%로 가장 많았고 뒤이어 Attach-Phishing형이 13%를 차지했습니다. 3. 첨부파일 종류 첨부파일은 ‘Down..

악성코드 분석 리포트 2020. 8. 7. 13:56

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 지난주에 이어 자체 운영 중인 이메일 모니터링 시스템의 데이터 공유를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고자 합니다. 다음은 7월 19일~25일까지의 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 352건이고 그중 악성은 96건을 차지했습니다. 이는 지지난주 103건 대비 7건(-0.06%)이 줄어든 수치입니다. 일일 수집량은 하루 최저 3건(악성 1건)에서 최대 85건(악성 23건)으로 주로 평일에 유입되는 것을 확인할 수 있습니다. 2. 이메일 유형 악성 이메일 96건 중 Attach-Malware형이 76%로 가장 많았고 뒤이어 Attach-Phishing형이 14%를 차지했습니다. ..

악성코드 분석 리포트 2020. 7. 29. 09:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 최근 사용자가 사람인지 기계인지 구분해 주는 캡차(CAPTCHA) 인증 기술을 이용한 피싱 메일이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 피싱메일은 “New VM (28 seconds) processed on July 21, 2020, 2:40:09 PM”라는 제목으로 전파되었으며 새로운 음성 메시지로 보이는 “AudioMessage.htm” 파일이 첨부되어 수신자의 파일 실행을 유도하고 있습니다. [그림 1] 새로운 음성 메시지를 가장한 피싱 메일 화면 피싱 메일에 첨부된 파일(htm)을 실행 시 계정과 비밀번호를 가로채기 위한 피싱 사이트로 리디렉션되는 것이 아닌 사용자를 안심시키기 위한 캡차 인증 화면으로 이동하게 됩니다. ..

악성코드 분석 리포트 2020. 7. 27. 16:44

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 저희는 국내 통일분야 기관을 사칭해 수행되는 이른바 '페이크 스트라이커(Fake Striker) 위협 캠페인' 배후가 작년 말 미국 법원에 고소장이 제출된 탈륨 조직과 직간접 연계 가능성이 높다고 판단 중입니다. 이들은 현재도 활발한 사이버 위협활동 모습을 보이고 있으며, 한국내 주요 기관이나 학회 관계자 등으로 위장해 공격을 집중하고 있습니다. 특히 국내에서 많이 이용하는 hwp, doc 등의 문서 파일 내부에 악의적 코드를 삽입한 후, 감염 대상자 별 이메일로 직접 전달하는 수법을 사용하고 있습니다. 따라서 업무상 특별히 보안이 중요하신 분들은 이메일 접근에 각별한 주의가 요구됩니다. 지인 사이라도 평소 자주 연락이 없었거나 사전에 통보 ..

악성코드 분석 리포트 2020. 7. 25. 10:20

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 한동안 해외에서만 발견되고, 국내 보고가 소강상태 였던 일명 '이모텟(Emotet)' 악성파일이 7월 말 현재 다시 국내에 유입되고 있어 이용자 분들의 각별한 주의가 필요합니다. 주로 이메일의 첨부 파일과 본문의 URL 링크 클릭 방식으로 감염을 유도하고 있습니다. 알약 블로그에선 지난 1월 말 ▲'사용자 데이터 탈취 협박 메일로 유포중인 Emotet 악성코드 주의!', ▲'특정 통신사업자를 사칭한 피싱 메일로 Emotet 악성코드 유포중!' 등의 내용을 공개한 바 있습니다. 이번에 새롭게 발견된 유형도 기존이랑 큰 차이는 없습니다만, 이메일 본문 내용이 계속 변화되고 있으므로 조금이라도 의심스러운 이메일은 가급적 접근하지 않는 것이 바람직 ..

악성코드 분석 리포트 2020. 7. 22. 23:08