안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 코로나19이슈 상황에서 비말 차단용 마스크를 공급하는 유명업체 사이트를 교묘하게 베낀 가짜 사이트로 인해 마스크를 구입하고자 하는 사용자들의 금전적인 피해가 속출되고 있어 주의가 필요합니다. [그림 1] 유명 마스크 판매 사이트와 사기사이트 비교 화면 이번에 발견된 사기 사이트는 정상적인 마스크 판매 사이트 도메인과 한 글자만 변경한 가짜 도메인을 가지고 있으며, 국내 포털사이트 카페 등에서 해당 가짜 도메인이 언급된 내용이 유포되고 있습니다. - 정상 마스크 판매 사이트 도메인 hxxp://welkeepsmall[.]com - 가짜 마스크 판매 사이트 도메인 hxxp://welkeesmall[.]com [그림 2-1] 포털사이트 카페에서 ..

악성코드 분석 리포트 2020. 6. 15. 17:17

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 특정 정부가 배후에 가담한 것으로 알려져 있는 김수키(Kimsuky) APT 그룹이 최근 탈북민 관련 정보를 담은 문서로 공격한 정황이 포착되었습니다. 이 공격은 지난 05월 29일 자유아시아방송을 통해 알려진 'DC 북인권단체에 북한 추정 사이버 공격 잇따라 포착' 내용과 연결되고 있습니다. ESRC는 이번 사례를 분석하면서 매우 흥미로운 특성을 발견했습니다. 금번 공격에 사용된 악성 MS 워드(.doc) 문서파일이 라자루스(Lazarus) APT 그룹이 과거에 수차례 사용한 바 있는 VBA 매크로 코드 방식을 도입했다는 것입니다. 물론, 이러한 공격에는 자동화된 위협도구가 공유되어 사용될 수도 있지만, 반대로 의도를 가진 거짓표식(False..

악성코드 분석 리포트 2020. 6. 11. 13:46

▶ 변칙적 워터링 홀 공격 배경 안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 특정 정부가 연계된 것으로 알려진 '금성121(Geumseong121)' 공격 그룹이 새로운 방식을 도입해 지능형지속위협(APT)공격을 수행하고 있어 각별한 주의가 요구됩니다. ESRC는 지난 2020년 5월 19일, 【금성121 조직, 국회 사무처 사칭으로 APT 공격 수행】 포스팅을 공개한 바 있습니다. 이외에도 【통일 정책분야 연구원으로 사칭한 ‘금성121’ APT 공격 주의】 내용 등으로 이들 그룹의 활발한 위협 인텔리전스 정보를 지속적으로 공유하고 있습니다. 한편 이번에 분석된 사례는 마치 워터링 홀(Watering Hole) 공격처럼 타깃 분야 웹 사이트에 접속한 사람들만 악성파일에 노출되도록 수행 중..

악성코드 분석 리포트 2020. 6. 5. 15:39

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 특정 정부와 연계된 것으로 알려진 김수키(Kimsuky) 조직의 새로운 '스모크 스크린(Smoke Screen)' APT 캠페인 공격이 등장했습니다. 이들 조직은 최근 마이크로소프트사의 doc 문서파일 형식으로 주로 공격을 수행했는데, 예전처럼 한컴사의 hwp 문서 형식과 exe 실행 파일까지 복합적으로 사용하고 있는 것이 확인 되었습니다. 공격자들은 스피어 피싱(Spear Phishing) 대상에 따라 공격형식을 다중으로 사용하는 위협전술을 수행하고 있습니다. 또한, 문서파일 형식이 아닌 보안 프로그램처럼 위장한 exe 실행파일을 그대로 사용하기도 합니다. 1. doc 문서 포맷을 이용한 공격 사례 분석 [그림 1] DOC 문서를 이용한 공격..

악성코드 분석 리포트 2020. 6. 2. 18:48

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 한글로 작성된 '긴급제작 의뢰 요청' 및 '견적 요청' 메일로 사칭한 악성 메일이 다수 유포되고 있습니다. [그림 1] '긴급제작의뢰 요청자료목록'이라는 제목으로 유포중인 악성메일 본문 [그림 2-1] '견적 요청의 건'이라는 제목으로 유포중인 악성메일 본문 [그림 2-2] '견적요청드립니다'라는 제목으로 유포중인 악성메일 본문 '긴급제작 의뢰 요청' 메일 및 '견적 요청'의 경우 직접 Cab형식의 압축파일을 메일에 첨부하는 경우도 있지만, 다음 대용량 파일 링크에 악성코드가 포함된 압축파일을 업로드하여 배포하는 케이스 역시 다수 확인되고 있는 상황입니다. 메일에 작성된 발신자 정보는 실제 존재하는 회사를 사칭하여 작성된 것이 확인되었으며,..

악성코드 분석 리포트 2020. 6. 2. 17:18

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 미국 내 북한 문제 전문가 포럼인 ‘전미북한위원회(NCNK)’의 코로나19 바이러스 관련 인터뷰 문서로 사칭한 악성 파일이 국내에서 발견되어 각별한 주의가 필요합니다. [그림 1] 전미북한위원회(NCNK) 코로나19 바이러스 인터뷰 위장 문서 내용 악성 DOC 파일은 ‘My Interview on COVID-19 with NCNK.doc’ 이름으로 발견되었으며 지난 05월 26일 제작된 것으로 확인되었습니다. ESRC에서는 해당 공격은 특정 정부가 연계된 것으로 알려진 일명 ‘김수키(Kimsuky)’ 조직이 사용한 APT(지능형지속위협) 공격 기법과 속성이 동일한 것으로 확인했으며 기존에 보고된 바 있는 ‘스모크 스크린(Smoke Screen)’..

악성코드 분석 리포트 2020. 5. 29. 15:00

안녕하세요.이스트시큐리티 시큐리티대응센터(ESRC)입니다. 5월 27일 ‘국세청 전자 세금계산서 발급 메일 안내’로 위장한 악성 이메일이 국내 공공기관 및 기업 종사자를 대상으로 유포되고 있어 각별한 주의가 필요한 상황입니다. [그림 1] 국세청 홈택스 전자세금계산서 발급 안내로 사칭한 이메일 화면 이번 공격은 악성 파일을 첨부한 이메일을 특정 대상에게 발송하는 스피어 피싱 이메일 공격 방식을 사용하고 있습니다. 특히 이번에 확인된 공격의 경우, 기존 국세청 hometax(홈택스) 사칭 공격에서 한단계 진화해 발신지 도메인까지 실제 홈택스 도메인 주소(hometaxadmin@hometax.go[.]kr)처럼 정교하게 조작한 것으로 분석되었습니다. 따라서 단순히 육안 상으로 발신지 주소만으로는 악성 여부를..

악성코드 분석 리포트 2020. 5. 27. 17:39

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 지난 05월 22일 부동산 및 대기업 주식매매 관련 내용을 담은 스피어 피싱(Spear Phishing) 공격이 진행되었습니다. 해당 공격은 20개의 HWP, XLSX, JPEG 파일 등이 이메일에 직접 첨부되어 있고, 별도로 9개의 파일은 대용량 첨부파일 형태로 추가되어 있습니다. 공격자는 다수의 파일을 첨부해 수신자를 현혹하는데 이용했으며, 첫번째 보이는 '※(창고허득)경기 이천 율면 월포리.9980평.급18억.토목완.hwp' 문서 파일에 악성코드를 삽입해 두었습니다. ESRC는 이번 공격이 특정 정부와 연계된 것으로 알려져 있는 일명 '라자루스(Lazarus)' APT 조직이 배후에 있는 것으로 분석했습니다. 라자루스 조직은 최근까지 국내..

악성코드 분석 리포트 2020. 5. 27. 10:00