안녕하세요, ESRC(이스트시큐리티 대응센터)입니다. 최근 PDF 첨부파일을 이용한 국내 대형 포털 사이트 피싱 공격이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 PDF 첨부파일은 “NAVER.pdf” 파일명을 사용하고 있으며, 파일을 실행하면 아래와 같이 계정 업그레이드 문제로 사용자들이 링크를 클릭할 수 있도록 유도하고 있습니다. [그림 1] 국내 포털 사이트 PDF 파일 실행 화면 PDF 파일을 실행 한 사용자가 계정 업그레이드 문제를 해결하기 위해 본문에 기재된 링크를 클릭할 경우 계정과 패스워드를 가로채기 위한 피싱 사이트로 이동하게 됩니다. [그림 2] 이동 된 피싱 사이트 화면 접속된 피싱 사이트에 계정과 패스워드를 입력할 경우, 개인 정보 수집 사이트로 입력된 개인 정보가 전송됩..

악성코드 분석 리포트 2020. 4. 29. 15:43

안녕하세요. ESRC(시큐리티 대응센터)입니다. 지난 27일 ESRC에서는 특정 정부 후원을 받는 것으로 추정되는 APT(지능형 지속 위협) 공격 그룹인 일명 ‘라자루스(Lazarus)’의 국내외 APT 공격이 활발히 진행되고 있는 것을 발견했습니다. [그림 1] 블록체인 소프트웨어 개발 계약서로 위장한 악성 이메일 화면 최근 발견된 APT 공격 중 라자루스가 위협 배후로 추정되는 공격은 아래와 같습니다. - 블록체인 소프트웨어 개발 계약서- 한미관계와 외교안보- 항공우주기업 채용관련 문서- 00광역시 코로나 바이러스 대응- 성착취물 유포사건 출석통지서 [그림 2] 한미관계와 외교안보 내용을 담고 있는 악성 워드 문서 화면 [그림 3] 미국과 인도의 항공우주기업 채용 문서로 위장한 악성파일 화면 특정 정..

악성코드 분석 리포트 2020. 4. 28. 16:31

안녕하세요. ESRC(시큐리티 대응센터)입니다. 국내 최대 모바일 중고거래 사이트에서 물품 구매 시 특정 메신저를 이용한 피싱사이트 유포와 금융 사기가 발견되어 사용자들의 주의가 필요합니다. 국내 최대 포털 중고거래 사이트에서도 이와 같은 사기 수법이 발견된 적이 있습니다. ※ 관련글 바로가기 ▶ 중고거래사이트와 카카오톡을 이용한 피싱 및 금융사기 주의보!! (20.03.18)▶ 중고마켓 마스크 안전거래 사기 주의!! (20.03.11) 기존 수법과 동일하게 정상적인 중고거래 사이트에서 사용자가 물건 구매를 위해 특정 메신저로 연락을 취하면 중고거래 사이트의 전용 송금방식을 이용하여 거래를 하기 위해 허위 피싱사이트 링크를 전달합니다. [그림1] 특정 메신저에서 전달되는 피싱사이트 화면 사용자는 구매 진..

악성코드 분석 리포트 2020. 4. 24. 16:30

안녕하세요. ESRC(시큐리티 대응센터)입니다. 마스크는 코로나19 바이러스의 가장 효과적인 예방책 중 한 가지로 알려져 있습니다. 최근 전 세계적으로 마스크에 대한 관심과 수요가 크게 증가한 상황에서 관련 문서 내용으로 위장한 악성 문서가 발견되었습니다. 이 악성 문서를 사용자가 열어볼 경우, 사용자 PC에 악성코드 설치 및 주요 정보가 탈취될 수 있기 때문에 각별한 주의가 필요합니다. ESRC에서는 지난 21일 특정 정부 후원을 받는 것으로 추정되는 대표적인 APT 공격 그룹 중 하나인 코니(Konni) 조직의 공격을 확인했습니다. 코니(Konni) 조직은 최근 몇 년간 꾸준히 국내를 타깃으로 APT 공격을 수행하는 조직으로 ESRC에서는 이미 몇 차례 Konni 조직의 APT 공격을 확인하고 경고한..

악성코드 분석 리포트 2020. 4. 22. 16:46

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 연초에 발생한 코로나19로 아직까지 많은 사람들이 힘들어하고 있습니다. 개인들은 원하지 않는 사회적 거리 두기와 함께 산채, 영화 관람, 외식 같은 평범한 일상에도 많은 제약이 가해지고 있기 때문입니다. 이렇게 모두가 힘들게 역경을 이겨내고 있는 가운데 스미싱 공격은 더욱 활개를 치며 코로나19로 힘든 사람들을 더욱 힘들게 하고 있습니다. 모바일 청첩장 사칭 스미싱은 코로나19의 영향으로 한동안 유포가 거의 없었으나 최근 조금씩 유포되고 있는 것이 발견되었습니다. [그림] 악성 앱 설치 화면 스미싱의 피해 예방은 매우 간단합니다. 문자 내의 URL 링크를 클릭하지 않거나 다운로드한 악성 앱을 설치하지 않으면 됩니다. 그리고 알약M과 같이 ..

악성코드 분석 리포트 2020. 4. 17. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 호주의 물류회사와 스페인에 위치한 병원에 랜섬웨어 공격이 발생했습니다. 주로 기업 네트워크를 타깃으로 하는 이번 공격에 사용된 랜섬웨어는 Mailto 랜섬웨어의 변종으로 Netwalker 로도 알려져있습니다. 해외에서 신종 코로나 바이러스의 확진자가 지속적으로 발생하면서 해당 공격자들이 랜섬웨어 설치를 위해 코로나19 이슈를 이용하여 피싱 이메일을 사용하고 있는 것으로 확인되었습니다. [그림] 랜섬노트 화면 해당 랜섬웨어는 기업을 타겟으로 하고, 최근에는 코로나19 확산에 따른 사회적 관심과 불안감을 악용하는 랜섬웨어입니다. 랜섬웨어를 예방하기 위해서는 기본 보안 수칙을 준수하고, 윈도우, 애플리케이션을 최신으로 업데이트해야 합니다...

악성코드 분석 리포트 2020. 4. 16. 17:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 애플 사용자를 대상으로 한 피싱 공격들이 지속적으로 발견되고 있어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 “앱 스토어에서 구매 증명 2020년 04월 13일”이라는 제목으로 사용자가 구매하지 않은 구매 영수증을 보냄으로써 구매 확인을 위해 애플 사이트에 로그인하도록 유도하는 클릭 유도형 방식을 사용하였습니다. [그림 1] 허위 구매 영수증을 이용한 피싱 공격 이메일 피싱 메일을 받은 사용자가 허위 구매영수증을 확인 후 구매확인을 위해 본문에 기재된 링크를 클릭 할 경우 계정과 패스워드를 가로채기 위한 피싱 사이트로 이동하게 됩니다. [그림 2] 이동 된 피싱 사이트 화면 사용자가 접속된 피싱 사이트에 계정과 패스워드를 입력할 경우, 개인 ..

악성코드 분석 리포트 2020. 4. 15. 08:30

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 저금리 대출 문자메시지를 발송한 후 전화상담을 통한 사용자에게만 카카오톡 메시지를 보내어 악성 앱을 다운로드 받게 하는 최신 스미싱 공격이 등장하였습니다. [그림 1] 최신 스미싱 공격에 사용 된 문자 메시지 사용자가 받은 문자메시지에는 기존에 발견되었던 스미싱 메시지와는 다르게 악성 앱을 다운로드 할 수 있는 링크는 존재하지 않습니다. 해당 문자메시지를 받은 후 일정 시간이 지나면 전화상담이 이루어지고 상담이 완료된 사용자에게만 카카오톡 메시지를 통해 스미싱 메시지를 전달하게 됩니다. [그림 2] 카카오톡으로 전달 된 스미싱 메시지 화면 카카오톡으로 전달된 메시지에는 기존 은행에서 대출 신청 시 받는 메지시와 유사하게 꾸며져 있으며 대출 신청서 작성..

악성코드 분석 리포트 2020. 4. 14. 10:33