안녕하세요.이스트시큐리티 ESRC(시큐리티대응센터)입니다. ‘Konni’ 조직의 APT 공격 방식과 매우 유사한 특징을 가진 문서 파일이 포착되었습니다. * 코니(Konni) APT 조직 2014년부터 지금까지 꾸준히 활동을 하고 있는 특정 정부의 지원을 받는 APT 조직으로, 스피어피싱 공격 방식을 사용하며 주로 북한과 관련된 내용이나 현재 사회적으로 화두가 되고 있는 이슈들로 사용자들의 메일 열람 / 첨부파일 실행을 유도합니다. 2019년 6월, 이스트시큐리티는 코니(Konni)조직을 추적하는 과정 중 김수키(Kimsuky)조직과 관련된 몇가지 의심스러운 정황들을 포착하였으며, 코니와 김수키 조직이 특별한 관계에 있을 것으로 추측하고 있습니다. 이번에 발견된 공격은 스탠포드(Stanford) 대학교 ..

악성코드 분석 리포트 2020. 5. 27. 08:45

안녕하세요. 이스트시큐리티 대응센터(ESRC)입니다. 5/25 오전부터 공정거래위원회를 사칭하여 '전자상거래 위반행위 조사통지서'라는 타이틀로 공공기관 및 공공기관 관련 기업들에게 다수의 랜섬웨어 이메일이 유포되고 있어 주의가 필요합니다. 비너스락커 조직의 소행으로 추정되는 이번 랜섬웨어 이메일 공격은 마치 공정거래위원회 사무관이 관련 기관 및 기업에 보낸 메일처럼 위장하고 있으며, 메일 본문에는 공정거래위원회가 보낸 공문처럼 한글로 정교하게 작성된 내용이 포함되어 있습니다. [그림 1] 공정거래위원회 사칭 랜섬웨어 이메일 본문 메일 첨부파일은 이중압축되어 있으며, 사용자가 해당 메일에 첨부된 압축파일 내에 존재하는 문서로 위장된 악성코드를 실행하게 되면 Makop 랜섬웨어 변종에 감염됩니다. 특히, 해..

악성코드 분석 리포트 2020. 5. 25. 17:21

안녕하세요.이스트시큐리티 시큐리티대응센터(ESRC)입니다. 5/25 OLE 내부에 PE가 포함된 형태의 악성문서가 첨부된 메일이 발견되었습니다. "Scan Copy_PO#~~"라는 제목의 이 악성 메일에는 공격자에 의해 조작된 Word 문서가 포함되어 있으며, 메일 본문은 어색한 한국어로 작성되어 있습니다. ESRC에서는 해당 피싱 메일에 첨부된 악성 파일 (SCAN+COPY.doc/Scan+Copy.docx.exe)에 대해 분석해 보았습니다. 유포 중인 악성 이메일은 첨부된 사진 스캔 사본을 확인하라는 내용을 담고 있습니다. [그림 1] 악성 메일 본문 첨부된 doc 문서를 확인하면 아래와 같이 ‘보안 파일을 보려면 누르십시오’라는 안내를 보여주며 사용자의 클릭을 유도합니다. [그림 2] 사용자의 클릭..

악성코드 분석 리포트 2020. 5. 25. 16:26

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 문서를 스캔한 이미지를 클릭할 때, 계정 탈취 로그인 페이지로 이동되는 피싱 공격이 다수 발견되어 사용자들의 주의가 필요합니다. ESRC에서는 동일한 공격 방법을 사용하는 3개의 피싱 메일을 확인하였으며, 메일 제목이 “스캔 파일”인 메일로 분석한 내용을 설명하고자 합니다. [표 1] 스캔한 문서 이미지 클릭 시 다음 로그인 페이지로 이동되는 피싱 메일 이번에 발견된 메일은 문서를 스캔한 이미지를 작게 보여주고 사용자의 클릭을 유도하며, 이미지를 클릭하면 아래의 피싱 사이트로 이동하게 됩니다. [그림 1] 첨부파일로 보이는 이미지 [그림 2] 첨부파일로 보이는 이미지 [그림 3] 첨부파일로 보이는 이미지 또한 피싱 메일에는 HTML 파일이 ..

악성코드 분석 리포트 2020. 5. 19. 14:46

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 4월 초부터 5월 중순까지 꾸준히 Nemty 랜섬웨어 시리즈를 유포중인 비너스락커 조직의 공격이 여전히 지속되고 있습니다. 4월 초에 '공정거래위원회'를 사칭하거나 혹은 '이력서'로 위장하여 Nemty 3.1 랜섬웨어를 유포했던 공격자는 5월 초부터는 '이미지 무단사용 경고' 키워드를 활용하거나 4월 초와 유사하게 '이력서'를 사칭한 Nemty Special Edition 랜섬웨어를 유포했습니다. 특히 공격자는 5월 초에는 Nemty 랜섬웨어를 유포하는 동시에 정보탈취 악성코드까지 유포를 시도했습니다. 5월 18일에도 또 다시 '이력서'를 사칭하여 지난 5월 중순과 동일하게 Nemty Special Edition을 유포중인 것이 확인되어 주의가 ..

악성코드 분석 리포트 2020. 5. 19. 13:07

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 해당 악성 앱은 N번 방 동영상 이슈를 활용한 스미싱을 통해서 유포되었습니다. 동영상 이슈를 활용하는 만큼 ‘Nplayer’라는 앱 명을 사용합니다. 특히, 처음 실행 시 특정 성인 사이트를 로드하여 팝업함으로써 사용자를 속임과 동시에 기기 및 문자 정보를 탈취합니다. [그림] 앱 특징 악성 앱으로부터 피해를 최소화하기 위해서는 백신 앱을 통한 주기적인 검사가 중요합니다. 출처가 불명확한 URL과 파일은 실행하지 않는 것이 기본이고 공식 마켓인 구글 플레이스토어를 통해서 확보한 앱이라도 백신 앱을 추가 설치하여 주기적으로 업데이트하고 검사해야 합니다. 현재 알약M에서는 해당 앱을 ‘Trojan.Android.SmsSpy’ 탐지 명으로 진단..

악성코드 분석 리포트 2020. 5. 19. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 국내 기업에 이력서 확인 메일로 ‘Trojan.Ransom.Makop’(이하 Makop 랜섬웨어)가 유포되고 있습니다. 공격자는 아래의 메일을 통해 이용자에게 ‘이력서.tar’ 첨부파일 실행을 유도합니다. Makop 랜섬웨어는 파일 암호화 기능을 수행하는 악성코드입니다. [그림] 이력서 위장 메일 랜섬웨어를 예방하기 위해서는 기본 보안 수칙을 준수하고, 윈도우, 애플리케이션을 최신으로 업데이트해야 합니다. 또한 중요한 자료는 정기적으로 외장 매체나 클라우드 서비스 등에 백업해서 피해를 최소화할 수 있도록 해야 합니다. 현재 알약에서는 해당 악성 코드를 ‘Trojan.Ransom.Makop’ 탐지 명으로 진단하고 있으며, 관련 상세 분..

악성코드 분석 리포트 2020. 5. 18. 09:00

안녕하세요.이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 이메일을 통해 '국내 암호화폐 거래소 신입사원 인력양식'이라는 파일명으로 악성코드가 유포중임이 확인되었습니다. 공격자는 ‘OOOOO신입 사원 입력 양식’이라는 제목의 악성문서를 통해 사용자의 문서 열람&실행을 유도합니다. 이 악성문서가 실행되면, 정상적인 MS오피스 다운로드 주소처럼 속인 가짜 경로로부터 악성 매크로가 담긴 ‘dotm’ 문서 파일을 추가 다운로드 및 실행합니다. 이 형태는 지난 4월에 직원 상여금 발급청구서로 위장하여 유포되었던 케이스와 거의 유사합니다. ※ 관련글 보기 ▶ 직원 활동 상여금 발급청구서를 위장하여 유포되고 있는 악성코드 주의! (20.04.07) [그림 1] ‘upbit 신입 사원 입력 양식.docx’ 실행 ..

악성코드 분석 리포트 2020. 5. 15. 18:39