안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 특정 정부와 연계된 것으로 알려진 김수키(Kimsuky) 조직의 새로운 '스모크 스크린(Smoke Screen)' APT 캠페인 공격이 등장했습니다. 이들 조직은 최근 마이크로소프트사의 doc 문서파일 형식으로 주로 공격을 수행했는데, 예전처럼 한컴사의 hwp 문서 형식과 exe 실행 파일까지 복합적으로 사용하고 있는 것이 확인 되었습니다. 공격자들은 스피어 피싱(Spear Phishing) 대상에 따라 공격형식을 다중으로 사용하는 위협전술을 수행하고 있습니다. 또한, 문서파일 형식이 아닌 보안 프로그램처럼 위장한 exe 실행파일을 그대로 사용하기도 합니다. 1. doc 문서 포맷을 이용한 공격 사례 분석 [그림 1] DOC 문서를 이용한 공격..

악성코드 분석 리포트 2020. 6. 2. 18:48

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 한글로 작성된 '긴급제작 의뢰 요청' 및 '견적 요청' 메일로 사칭한 악성 메일이 다수 유포되고 있습니다. [그림 1] '긴급제작의뢰 요청자료목록'이라는 제목으로 유포중인 악성메일 본문 [그림 2-1] '견적 요청의 건'이라는 제목으로 유포중인 악성메일 본문 [그림 2-2] '견적요청드립니다'라는 제목으로 유포중인 악성메일 본문 '긴급제작 의뢰 요청' 메일 및 '견적 요청'의 경우 직접 Cab형식의 압축파일을 메일에 첨부하는 경우도 있지만, 다음 대용량 파일 링크에 악성코드가 포함된 압축파일을 업로드하여 배포하는 케이스 역시 다수 확인되고 있는 상황입니다. 메일에 작성된 발신자 정보는 실제 존재하는 회사를 사칭하여 작성된 것이 확인되었으며,..

악성코드 분석 리포트 2020. 6. 2. 17:18

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 미국 내 북한 문제 전문가 포럼인 ‘전미북한위원회(NCNK)’의 코로나19 바이러스 관련 인터뷰 문서로 사칭한 악성 파일이 국내에서 발견되어 각별한 주의가 필요합니다. [그림 1] 전미북한위원회(NCNK) 코로나19 바이러스 인터뷰 위장 문서 내용 악성 DOC 파일은 ‘My Interview on COVID-19 with NCNK.doc’ 이름으로 발견되었으며 지난 05월 26일 제작된 것으로 확인되었습니다. ESRC에서는 해당 공격은 특정 정부가 연계된 것으로 알려진 일명 ‘김수키(Kimsuky)’ 조직이 사용한 APT(지능형지속위협) 공격 기법과 속성이 동일한 것으로 확인했으며 기존에 보고된 바 있는 ‘스모크 스크린(Smoke Screen)’..

악성코드 분석 리포트 2020. 5. 29. 15:00

안녕하세요.이스트시큐리티 시큐리티대응센터(ESRC)입니다. 5월 27일 ‘국세청 전자 세금계산서 발급 메일 안내’로 위장한 악성 이메일이 국내 공공기관 및 기업 종사자를 대상으로 유포되고 있어 각별한 주의가 필요한 상황입니다. [그림 1] 국세청 홈택스 전자세금계산서 발급 안내로 사칭한 이메일 화면 이번 공격은 악성 파일을 첨부한 이메일을 특정 대상에게 발송하는 스피어 피싱 이메일 공격 방식을 사용하고 있습니다. 특히 이번에 확인된 공격의 경우, 기존 국세청 hometax(홈택스) 사칭 공격에서 한단계 진화해 발신지 도메인까지 실제 홈택스 도메인 주소(hometaxadmin@hometax.go[.]kr)처럼 정교하게 조작한 것으로 분석되었습니다. 따라서 단순히 육안 상으로 발신지 주소만으로는 악성 여부를..

악성코드 분석 리포트 2020. 5. 27. 17:39

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 지난 05월 22일 부동산 및 대기업 주식매매 관련 내용을 담은 스피어 피싱(Spear Phishing) 공격이 진행되었습니다. 해당 공격은 20개의 HWP, XLSX, JPEG 파일 등이 이메일에 직접 첨부되어 있고, 별도로 9개의 파일은 대용량 첨부파일 형태로 추가되어 있습니다. 공격자는 다수의 파일을 첨부해 수신자를 현혹하는데 이용했으며, 첫번째 보이는 '※(창고허득)경기 이천 율면 월포리.9980평.급18억.토목완.hwp' 문서 파일에 악성코드를 삽입해 두었습니다. ESRC는 이번 공격이 특정 정부와 연계된 것으로 알려져 있는 일명 '라자루스(Lazarus)' APT 조직이 배후에 있는 것으로 분석했습니다. 라자루스 조직은 최근까지 국내..

악성코드 분석 리포트 2020. 5. 27. 10:00

안녕하세요.이스트시큐리티 ESRC(시큐리티대응센터)입니다. ‘Konni’ 조직의 APT 공격 방식과 매우 유사한 특징을 가진 문서 파일이 포착되었습니다. * 코니(Konni) APT 조직 2014년부터 지금까지 꾸준히 활동을 하고 있는 특정 정부의 지원을 받는 APT 조직으로, 스피어피싱 공격 방식을 사용하며 주로 북한과 관련된 내용이나 현재 사회적으로 화두가 되고 있는 이슈들로 사용자들의 메일 열람 / 첨부파일 실행을 유도합니다. 2019년 6월, 이스트시큐리티는 코니(Konni)조직을 추적하는 과정 중 김수키(Kimsuky)조직과 관련된 몇가지 의심스러운 정황들을 포착하였으며, 코니와 김수키 조직이 특별한 관계에 있을 것으로 추측하고 있습니다. 이번에 발견된 공격은 스탠포드(Stanford) 대학교 ..

악성코드 분석 리포트 2020. 5. 27. 08:45

안녕하세요. 이스트시큐리티 대응센터(ESRC)입니다. 5/25 오전부터 공정거래위원회를 사칭하여 '전자상거래 위반행위 조사통지서'라는 타이틀로 공공기관 및 공공기관 관련 기업들에게 다수의 랜섬웨어 이메일이 유포되고 있어 주의가 필요합니다. 비너스락커 조직의 소행으로 추정되는 이번 랜섬웨어 이메일 공격은 마치 공정거래위원회 사무관이 관련 기관 및 기업에 보낸 메일처럼 위장하고 있으며, 메일 본문에는 공정거래위원회가 보낸 공문처럼 한글로 정교하게 작성된 내용이 포함되어 있습니다. [그림 1] 공정거래위원회 사칭 랜섬웨어 이메일 본문 메일 첨부파일은 이중압축되어 있으며, 사용자가 해당 메일에 첨부된 압축파일 내에 존재하는 문서로 위장된 악성코드를 실행하게 되면 Makop 랜섬웨어 변종에 감염됩니다. 특히, 해..

악성코드 분석 리포트 2020. 5. 25. 17:21

안녕하세요.이스트시큐리티 시큐리티대응센터(ESRC)입니다. 5/25 OLE 내부에 PE가 포함된 형태의 악성문서가 첨부된 메일이 발견되었습니다. "Scan Copy_PO#~~"라는 제목의 이 악성 메일에는 공격자에 의해 조작된 Word 문서가 포함되어 있으며, 메일 본문은 어색한 한국어로 작성되어 있습니다. ESRC에서는 해당 피싱 메일에 첨부된 악성 파일 (SCAN+COPY.doc/Scan+Copy.docx.exe)에 대해 분석해 보았습니다. 유포 중인 악성 이메일은 첨부된 사진 스캔 사본을 확인하라는 내용을 담고 있습니다. [그림 1] 악성 메일 본문 첨부된 doc 문서를 확인하면 아래와 같이 ‘보안 파일을 보려면 누르십시오’라는 안내를 보여주며 사용자의 클릭을 유도합니다. [그림 2] 사용자의 클릭..

악성코드 분석 리포트 2020. 5. 25. 16:26