안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2019년 하반기 발견된 Nemty 램섬웨어는 최근까지 이력서를 위장하여 기업으로 다량 유포되었습니다. 최근 세계적으로 코로나19 전파되고 있는 가운데 공격자는 이를 이용하여 사용자로 하여금 공격을 유도합니다. 그뿐만 아니라 기존과 다르게 코드를 변화시켜 백신 탐지 우회를 시도하였습니다. [그림] 파일 암호화 완료 후 바탕화면 변경 이 악성코드는 로컬에 존재하는 파일을 암호화시켜 감염자에게 파일 복호화를 대가로 돈을 받는 랜섬웨어의 한 종류입니다. 해당 랜섬웨어는 2019년 하반기부터 유포되었던 Nemty 랜섬웨어의 변종으로써 필요한 데이터와 감염 PC 정보 등을 저장하는 레지스트리가 동일합니다. 추가적으로 뮤텍스 값 등에서 러시아어를 이..

악성코드 분석 리포트 2020. 6. 16. 15:15

안녕하세요.이스트시큐리티 ESRC(시큐리티대응센터)입니다. ‘Konni’ 조직의 APT 공격 방식과 매우 유사한 특징을 가진 문서 파일이 포착되었습니다. 특히 이번 문서 파일은 본문 내용에 2020년 초 국내에서 큰 이슈가 되었던 악질적인 디지털 성범죄 이슈였던 'n번방' 관련 이슈를 다루고 있는 것이 특징입니다. (제목 : nth_room_event1.doc) 이번에 확인된 악성문서는 기존 공격방식과 유사하게 문서 실행 시 아래와 같이 매크로 실행을 유도합니다. 이전에 발견된 Konni 악성코드 문서와 동일하게 본문 내용 색깔이 흰색으로 작업되어 있는 것을 확인할 수 있습니다. [그림 1] nth_room_event1.doc 실행 화면 매크로 기능은 %userprofile% 경로에 ‘ok.exe’ 파일..

악성코드 분석 리포트 2020. 6. 15. 17:56

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 코로나19이슈 상황에서 비말 차단용 마스크를 공급하는 유명업체 사이트를 교묘하게 베낀 가짜 사이트로 인해 마스크를 구입하고자 하는 사용자들의 금전적인 피해가 속출되고 있어 주의가 필요합니다. [그림 1] 유명 마스크 판매 사이트와 사기사이트 비교 화면 이번에 발견된 사기 사이트는 정상적인 마스크 판매 사이트 도메인과 한 글자만 변경한 가짜 도메인을 가지고 있으며, 국내 포털사이트 카페 등에서 해당 가짜 도메인이 언급된 내용이 유포되고 있습니다. - 정상 마스크 판매 사이트 도메인 hxxp://welkeepsmall[.]com - 가짜 마스크 판매 사이트 도메인 hxxp://welkeesmall[.]com [그림 2-1] 포털사이트 카페에서 ..

악성코드 분석 리포트 2020. 6. 15. 17:17

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 특정 정부가 배후에 가담한 것으로 알려져 있는 김수키(Kimsuky) APT 그룹이 최근 탈북민 관련 정보를 담은 문서로 공격한 정황이 포착되었습니다. 이 공격은 지난 05월 29일 자유아시아방송을 통해 알려진 'DC 북인권단체에 북한 추정 사이버 공격 잇따라 포착' 내용과 연결되고 있습니다. ESRC는 이번 사례를 분석하면서 매우 흥미로운 특성을 발견했습니다. 금번 공격에 사용된 악성 MS 워드(.doc) 문서파일이 라자루스(Lazarus) APT 그룹이 과거에 수차례 사용한 바 있는 VBA 매크로 코드 방식을 도입했다는 것입니다. 물론, 이러한 공격에는 자동화된 위협도구가 공유되어 사용될 수도 있지만, 반대로 의도를 가진 거짓표식(False..

악성코드 분석 리포트 2020. 6. 11. 13:46

▶ 변칙적 워터링 홀 공격 배경 안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 특정 정부가 연계된 것으로 알려진 '금성121(Geumseong121)' 공격 그룹이 새로운 방식을 도입해 지능형지속위협(APT)공격을 수행하고 있어 각별한 주의가 요구됩니다. ESRC는 지난 2020년 5월 19일, 【금성121 조직, 국회 사무처 사칭으로 APT 공격 수행】 포스팅을 공개한 바 있습니다. 이외에도 【통일 정책분야 연구원으로 사칭한 ‘금성121’ APT 공격 주의】 내용 등으로 이들 그룹의 활발한 위협 인텔리전스 정보를 지속적으로 공유하고 있습니다. 한편 이번에 분석된 사례는 마치 워터링 홀(Watering Hole) 공격처럼 타깃 분야 웹 사이트에 접속한 사람들만 악성파일에 노출되도록 수행 중..

악성코드 분석 리포트 2020. 6. 5. 15:39

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 특정 정부와 연계된 것으로 알려진 김수키(Kimsuky) 조직의 새로운 '스모크 스크린(Smoke Screen)' APT 캠페인 공격이 등장했습니다. 이들 조직은 최근 마이크로소프트사의 doc 문서파일 형식으로 주로 공격을 수행했는데, 예전처럼 한컴사의 hwp 문서 형식과 exe 실행 파일까지 복합적으로 사용하고 있는 것이 확인 되었습니다. 공격자들은 스피어 피싱(Spear Phishing) 대상에 따라 공격형식을 다중으로 사용하는 위협전술을 수행하고 있습니다. 또한, 문서파일 형식이 아닌 보안 프로그램처럼 위장한 exe 실행파일을 그대로 사용하기도 합니다. 1. doc 문서 포맷을 이용한 공격 사례 분석 [그림 1] DOC 문서를 이용한 공격..

악성코드 분석 리포트 2020. 6. 2. 18:48

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 한글로 작성된 '긴급제작 의뢰 요청' 및 '견적 요청' 메일로 사칭한 악성 메일이 다수 유포되고 있습니다. [그림 1] '긴급제작의뢰 요청자료목록'이라는 제목으로 유포중인 악성메일 본문 [그림 2-1] '견적 요청의 건'이라는 제목으로 유포중인 악성메일 본문 [그림 2-2] '견적요청드립니다'라는 제목으로 유포중인 악성메일 본문 '긴급제작 의뢰 요청' 메일 및 '견적 요청'의 경우 직접 Cab형식의 압축파일을 메일에 첨부하는 경우도 있지만, 다음 대용량 파일 링크에 악성코드가 포함된 압축파일을 업로드하여 배포하는 케이스 역시 다수 확인되고 있는 상황입니다. 메일에 작성된 발신자 정보는 실제 존재하는 회사를 사칭하여 작성된 것이 확인되었으며,..

악성코드 분석 리포트 2020. 6. 2. 17:18

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 미국 내 북한 문제 전문가 포럼인 ‘전미북한위원회(NCNK)’의 코로나19 바이러스 관련 인터뷰 문서로 사칭한 악성 파일이 국내에서 발견되어 각별한 주의가 필요합니다. [그림 1] 전미북한위원회(NCNK) 코로나19 바이러스 인터뷰 위장 문서 내용 악성 DOC 파일은 ‘My Interview on COVID-19 with NCNK.doc’ 이름으로 발견되었으며 지난 05월 26일 제작된 것으로 확인되었습니다. ESRC에서는 해당 공격은 특정 정부가 연계된 것으로 알려진 일명 ‘김수키(Kimsuky)’ 조직이 사용한 APT(지능형지속위협) 공격 기법과 속성이 동일한 것으로 확인했으며 기존에 보고된 바 있는 ‘스모크 스크린(Smoke Screen)’..

악성코드 분석 리포트 2020. 5. 29. 15:00