안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 특정 정부 후원을 받는 것으로 추정되는 APT공격 조직인 라자루스(Lazarus)의 공격이 지속되고 있으며, 국내외 APT 공격 뿐만 아니라 최근에는 지속적으로 해외 방위 산업체를 타깃으로 공격을 지속 중입니다. ※ 관련글 보기 ▶ 코로나19 정국에도 ‘라자루스’ 그룹 소행 국내외 APT 공격 증가 주의보 (20.04.28) 지난 5월초에도 해외 방위 산업체를 타깃으로 하는 APT공격이 포착된 바 있고, 금일(5/15)도 역시 새로운 APT 공격용 악성문서 파일이 확인되었습니다. 금일 새롭게 발견된 파일은 ‘LM_IFG_536R.docx’, ‘BAE_JD_2020.docx’ ‘Boeing_AERO_GS.docx’ 들로 이 3개의 신규 악성 문서..

악성코드 분석 리포트 2020. 5. 15. 10:44

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 특정 도메인을 사용하여 사내 계정을 대상으로 한 피싱 공격들이 지속적으로 발견되고 있어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 “✉ Your *******@*******.com mailbox usage is 85% full”이라는 제목으로 관리자 계정을 타깃하여 발송되었습니다. 메일에는 사용자의 이메일 스토리지 용량이 부족하다고 경고하며, 계속 해당 이메일을 사용하려면 로그인하여 스토리지를 업그레이드하라고 본문의 URL을 클릭하도록 유도합니다. [그림 1] 관리자 계정으로 전달된 피싱 공격 이메일 피싱 메일을 받은 사용자가 부족한 스토리지 용량을 늘리기 위해 본문에 기재된 링크를 클릭할 경우, 계정과 패스워드를 가로채기 위한 피..

악성코드 분석 리포트 2020. 5. 13. 07:30

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 코로나19 위기 극복을 위한 정부 지원인 긴급재난지원금 신청이 지난 5월 11일부터 시작되며 많은 관심이 집중되고 있는 가운데, ‘긴급재난지원금 조회 및 안내’를 사칭한 스미싱 공격이 등장했습니다. [그림 1] 정부 긴급재난지원금 사이트로 위장된 피싱 사이트 ESRC에서는 12일 정부 긴급재난지원금 신청 이슈를 노린 스미싱 공격을 확인했습니다. 발견된 스미싱은 11일 오후부터 다수 유포되었으며, 문자 메시지 내용은 스미싱 공격자가 주로 사용하던 택배 사칭 메시지가 그대로 재활용되었습니다. 스미싱 문자에는 ‘주소가 불분명하여 배달이 불가능하다’는 택배 사칭 내용이 적혀있으며, 문자에 첨부된 인터넷 주소(URL)를 클릭하면 공격자가 미리 제작해둔 가..

악성코드 분석 리포트 2020. 5. 12. 13:42

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2020년 5월 10일부터 국내 사용자를 대상으로 Paymen45 랜섬웨어가 대량으로 유포 중이어서 주의가 필요합니다. 해당 랜섬웨어는 정확한 감염경로가 아직 확인되진 않았으나 악성 이메일 첨부파일 또는, 불법SW 크랙버전을 위장하여 유포가 되고 있는 것으로 추정됩니다. 이번에 확인된 Paymen45 랜섬웨어는 현재까지 ESRC에서 발견된 변종을 포함하여 크게 2종류로 확인됩니다.랜섬웨어 기능 자체는 유사하지만, 독특한 점도 몇가지 발견할 수 있었습니다. 일단 초기에 발견된 Paymen45 랜섬웨어의 경우, 크롬 아이콘으로 자신을 위장하고 있습니다. (추가로 발견된 변종의 경우 크롬 아이콘으로 위장하지 않고 있습니다.) [그림 1] 크롬icon으..

악성코드 분석 리포트 2020. 5. 11. 16:33

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 특정 정부가 연계된 것으로 알려진 사이버 위협 그룹 일명 ‘금성121(Geumseong121)’ 해커들이 새로운 공격 시나리오로 APT(지능형지속위협) 공격을 시도한 정황이 포착되어 주의가 요구됩니다. 금성121 그룹은 최근까지 다양한 해킹 사례의 배후로 지목되고 있으며, 라자루스(Lazarus), 김수키(Kimsuky), 코니(Konni) 등과 함께 대한민국을 주무대로 활동하는 대표적인 위협 조직 중 하나입니다. 최근 포착된 APT공격에서는 이들은 통일정책 분야의 연구원으로 변장해 공격 대상의 스마트폰 전화번호 등 개인정보를 1차 수집하고 일정 기간 후 상대방과 성별이 다른 카카오톡 프로필을 만들어 해킹을 시도하고 있음이 확인되었습니다...

악성코드 분석 리포트 2020. 5. 8. 14:04

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 5월 연휴기간 동안 불특정 다수 사용자를 대상으로 hoax 메일이 유포되었습니다. 해당 메일 발신자는 현재까지 확인된 내용으로는 모두 다르며, 특정 국내기업 메일주소로 위장하기도 하였습니다. 메일 제목은 '높은 수준의 위험. 귀하의 계정이 해킹되었습니다. 비밀번호를 변경하십시오.'라고 작성되어 있습니다. [그림 1] 불특정 다수에게 유포된 hoax 메일 본문 hoax 메일에 작성된 내용은 최근 몇년동안 주로 사용되었던 내용과 동일합니다. 사용자가 성인 사이트를 방문하고 성인 동영상을 보려고 할 때, 수신자의 단말에 악성코드를 감염시켜 PC에 내장된 카메라로 남들에게 알리고 싶지 않은 사생활을 촬영했다 등의 내용들이 작성되어 있습니다. 또한 동영상..

악성코드 분석 리포트 2020. 5. 6. 17:34

안녕하세요, ESRC(이스트시큐리티 대응센터)입니다. 최근 PDF 첨부파일을 이용한 국내 대형 포털 사이트 피싱 공격이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 PDF 첨부파일은 “NAVER.pdf” 파일명을 사용하고 있으며, 파일을 실행하면 아래와 같이 계정 업그레이드 문제로 사용자들이 링크를 클릭할 수 있도록 유도하고 있습니다. [그림 1] 국내 포털 사이트 PDF 파일 실행 화면 PDF 파일을 실행 한 사용자가 계정 업그레이드 문제를 해결하기 위해 본문에 기재된 링크를 클릭할 경우 계정과 패스워드를 가로채기 위한 피싱 사이트로 이동하게 됩니다. [그림 2] 이동 된 피싱 사이트 화면 접속된 피싱 사이트에 계정과 패스워드를 입력할 경우, 개인 정보 수집 사이트로 입력된 개인 정보가 전송됩..

악성코드 분석 리포트 2020. 4. 29. 15:43

안녕하세요. ESRC(시큐리티 대응센터)입니다. 지난 27일 ESRC에서는 특정 정부 후원을 받는 것으로 추정되는 APT(지능형 지속 위협) 공격 그룹인 일명 ‘라자루스(Lazarus)’의 국내외 APT 공격이 활발히 진행되고 있는 것을 발견했습니다. [그림 1] 블록체인 소프트웨어 개발 계약서로 위장한 악성 이메일 화면 최근 발견된 APT 공격 중 라자루스가 위협 배후로 추정되는 공격은 아래와 같습니다. - 블록체인 소프트웨어 개발 계약서- 한미관계와 외교안보- 항공우주기업 채용관련 문서- 00광역시 코로나 바이러스 대응- 성착취물 유포사건 출석통지서 [그림 2] 한미관계와 외교안보 내용을 담고 있는 악성 워드 문서 화면 [그림 3] 미국과 인도의 항공우주기업 채용 문서로 위장한 악성파일 화면 특정 정..

악성코드 분석 리포트 2020. 4. 28. 16:31