안녕하세요.이스트시큐리티 시큐리티대응센터(ESRC)입니다. 5/25 OLE 내부에 PE가 포함된 형태의 악성문서가 첨부된 메일이 발견되었습니다. "Scan Copy_PO#~~"라는 제목의 이 악성 메일에는 공격자에 의해 조작된 Word 문서가 포함되어 있으며, 메일 본문은 어색한 한국어로 작성되어 있습니다. ESRC에서는 해당 피싱 메일에 첨부된 악성 파일 (SCAN+COPY.doc/Scan+Copy.docx.exe)에 대해 분석해 보았습니다. 유포 중인 악성 이메일은 첨부된 사진 스캔 사본을 확인하라는 내용을 담고 있습니다. [그림 1] 악성 메일 본문 첨부된 doc 문서를 확인하면 아래와 같이 ‘보안 파일을 보려면 누르십시오’라는 안내를 보여주며 사용자의 클릭을 유도합니다. [그림 2] 사용자의 클릭..

악성코드 분석 리포트 2020. 5. 25. 16:26

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 문서를 스캔한 이미지를 클릭할 때, 계정 탈취 로그인 페이지로 이동되는 피싱 공격이 다수 발견되어 사용자들의 주의가 필요합니다. ESRC에서는 동일한 공격 방법을 사용하는 3개의 피싱 메일을 확인하였으며, 메일 제목이 “스캔 파일”인 메일로 분석한 내용을 설명하고자 합니다. [표 1] 스캔한 문서 이미지 클릭 시 다음 로그인 페이지로 이동되는 피싱 메일 이번에 발견된 메일은 문서를 스캔한 이미지를 작게 보여주고 사용자의 클릭을 유도하며, 이미지를 클릭하면 아래의 피싱 사이트로 이동하게 됩니다. [그림 1] 첨부파일로 보이는 이미지 [그림 2] 첨부파일로 보이는 이미지 [그림 3] 첨부파일로 보이는 이미지 또한 피싱 메일에는 HTML 파일이 ..

악성코드 분석 리포트 2020. 5. 19. 14:46

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 4월 초부터 5월 중순까지 꾸준히 Nemty 랜섬웨어 시리즈를 유포중인 비너스락커 조직의 공격이 여전히 지속되고 있습니다. 4월 초에 '공정거래위원회'를 사칭하거나 혹은 '이력서'로 위장하여 Nemty 3.1 랜섬웨어를 유포했던 공격자는 5월 초부터는 '이미지 무단사용 경고' 키워드를 활용하거나 4월 초와 유사하게 '이력서'를 사칭한 Nemty Special Edition 랜섬웨어를 유포했습니다. 특히 공격자는 5월 초에는 Nemty 랜섬웨어를 유포하는 동시에 정보탈취 악성코드까지 유포를 시도했습니다. 5월 18일에도 또 다시 '이력서'를 사칭하여 지난 5월 중순과 동일하게 Nemty Special Edition을 유포중인 것이 확인되어 주의가 ..

악성코드 분석 리포트 2020. 5. 19. 13:07

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 해당 악성 앱은 N번 방 동영상 이슈를 활용한 스미싱을 통해서 유포되었습니다. 동영상 이슈를 활용하는 만큼 ‘Nplayer’라는 앱 명을 사용합니다. 특히, 처음 실행 시 특정 성인 사이트를 로드하여 팝업함으로써 사용자를 속임과 동시에 기기 및 문자 정보를 탈취합니다. [그림] 앱 특징 악성 앱으로부터 피해를 최소화하기 위해서는 백신 앱을 통한 주기적인 검사가 중요합니다. 출처가 불명확한 URL과 파일은 실행하지 않는 것이 기본이고 공식 마켓인 구글 플레이스토어를 통해서 확보한 앱이라도 백신 앱을 추가 설치하여 주기적으로 업데이트하고 검사해야 합니다. 현재 알약M에서는 해당 앱을 ‘Trojan.Android.SmsSpy’ 탐지 명으로 진단..

악성코드 분석 리포트 2020. 5. 19. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 국내 기업에 이력서 확인 메일로 ‘Trojan.Ransom.Makop’(이하 Makop 랜섬웨어)가 유포되고 있습니다. 공격자는 아래의 메일을 통해 이용자에게 ‘이력서.tar’ 첨부파일 실행을 유도합니다. Makop 랜섬웨어는 파일 암호화 기능을 수행하는 악성코드입니다. [그림] 이력서 위장 메일 랜섬웨어를 예방하기 위해서는 기본 보안 수칙을 준수하고, 윈도우, 애플리케이션을 최신으로 업데이트해야 합니다. 또한 중요한 자료는 정기적으로 외장 매체나 클라우드 서비스 등에 백업해서 피해를 최소화할 수 있도록 해야 합니다. 현재 알약에서는 해당 악성 코드를 ‘Trojan.Ransom.Makop’ 탐지 명으로 진단하고 있으며, 관련 상세 분..

악성코드 분석 리포트 2020. 5. 18. 09:00

안녕하세요.이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 이메일을 통해 '국내 암호화폐 거래소 신입사원 인력양식'이라는 파일명으로 악성코드가 유포중임이 확인되었습니다. 공격자는 ‘OOOOO신입 사원 입력 양식’이라는 제목의 악성문서를 통해 사용자의 문서 열람&실행을 유도합니다. 이 악성문서가 실행되면, 정상적인 MS오피스 다운로드 주소처럼 속인 가짜 경로로부터 악성 매크로가 담긴 ‘dotm’ 문서 파일을 추가 다운로드 및 실행합니다. 이 형태는 지난 4월에 직원 상여금 발급청구서로 위장하여 유포되었던 케이스와 거의 유사합니다. ※ 관련글 보기 ▶ 직원 활동 상여금 발급청구서를 위장하여 유포되고 있는 악성코드 주의! (20.04.07) [그림 1] ‘upbit 신입 사원 입력 양식.docx’ 실행 ..

악성코드 분석 리포트 2020. 5. 15. 18:39

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 특정 정부 후원을 받는 것으로 추정되는 APT공격 조직인 라자루스(Lazarus)의 공격이 지속되고 있으며, 국내외 APT 공격 뿐만 아니라 최근에는 지속적으로 해외 방위 산업체를 타깃으로 공격을 지속 중입니다. ※ 관련글 보기 ▶ 코로나19 정국에도 ‘라자루스’ 그룹 소행 국내외 APT 공격 증가 주의보 (20.04.28) 지난 5월초에도 해외 방위 산업체를 타깃으로 하는 APT공격이 포착된 바 있고, 금일(5/15)도 역시 새로운 APT 공격용 악성문서 파일이 확인되었습니다. 금일 새롭게 발견된 파일은 ‘LM_IFG_536R.docx’, ‘BAE_JD_2020.docx’ ‘Boeing_AERO_GS.docx’ 들로 이 3개의 신규 악성 문서..

악성코드 분석 리포트 2020. 5. 15. 10:44

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 특정 도메인을 사용하여 사내 계정을 대상으로 한 피싱 공격들이 지속적으로 발견되고 있어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 “✉ Your *******@*******.com mailbox usage is 85% full”이라는 제목으로 관리자 계정을 타깃하여 발송되었습니다. 메일에는 사용자의 이메일 스토리지 용량이 부족하다고 경고하며, 계속 해당 이메일을 사용하려면 로그인하여 스토리지를 업그레이드하라고 본문의 URL을 클릭하도록 유도합니다. [그림 1] 관리자 계정으로 전달된 피싱 공격 이메일 피싱 메일을 받은 사용자가 부족한 스토리지 용량을 늘리기 위해 본문에 기재된 링크를 클릭할 경우, 계정과 패스워드를 가로채기 위한 피..

악성코드 분석 리포트 2020. 5. 13. 07:30