안녕하세요?ESRC(시큐리티대응센터)입니다. 지난 3월초 대량으로 이력서를 사칭하여 유포되었던 Makop 랜섬웨어 이메일이 4월초부터 다시금 유포가 이뤄지고 있습니다. ※ 관련글 바로가기 ▶ 비너스락커 조직이 이중압축을 통해 유포하고 있는 Makop 랜섬웨어 주의! (20.03.06)▶ 비너스락커 조직, 지원서 사칭 이메일을 통해 Makop 랜섬웨어 대량 유포중! (20.03.04) 이번에 발견된 이력서 사칭 악성 이메일 역시 국내 대형 포털 이메일을 사용하고, 이메일 본문에 문장을 작성시 마침표를 생략하며 이중압축을 하는 등의 특징을 보았을 때 비너스락커 조직이 유포하는 것으로 추정됩니다. [그림 1] 지원서 사칭 랜섬웨어 악성 이메일 이력서를 사칭하는 메일 특성상 꾸준히 첨부파일에 포함된 문서위장 파..

악성코드 분석 리포트 2020. 4. 13. 16:43

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 애플 사용자를 대상으로 한 피싱 공격들이 발견되어 사용자들의 주의가 필요합니다. 해당 메일은 “알 수 없는 기기를 사용하여 로그인”이라는 제목으로 비정상적인 로그인이 발생하였기 때문에 본문에 기재된 링크를 통해 확인하라는 클릭 유도형 방식을 사용하였습니다. [그림 1] 애플 사용자 피싱 공격에 사용된 이메일 피싱 메일을 받은 사용자가 로그인 정보를 확인하기 위해 본문에 기재된 링크를 클릭할 경우 허위 로그인 정보를 포함한 PDF가 다운로드 되고 바로 사용자에게 보여집니다. [그림 2] 허위 로그인 정보가 담긴 PDF파일 화면 사용자가 본인의 계정을 보호하기 위해 PDF에 삽입된 링크를 클릭할 경우 계정과 패스워드를 가로채기 위한 피싱 사이트로 이동하게..

악성코드 분석 리포트 2020. 4. 10. 13:24

안녕하세요. 이스트시큐리티 ESRC(시큐리티 대응센터)입니다. 김수키(Kimsuky) 조직의 '스모크 스크린' 캠페인의 일환으로 추정되는 공격이 또 한번 포착되어 사용자들의 주의가 필요합니다. 이번 공격에 사용된 악성 파일은 '21대 국회의원 선거 관련.docx', '외교문서 관련(이재춘국장).docx' 파일을 위장하고 있습니다. 이번에 발견된 두 개의 악성 워드파일들의 파일명은 다르지만, 동작방식은 동일합니다. 먼저 악성 DOCX 문서가 실행되면, 아래와 같은 내부 'settings.xml.rels' 명령이 작동하고, 악성 매크로 함수실행을 위해 특정 미리네 호스팅 C2 서버로 통신을 시도합니다. DOCX 문서 파일의 작성자는 'seong jin lee' 이름이 등록되어 있으며, 마지막 수정자는 'Ro..

악성코드 분석 리포트 2020. 4. 10. 09:06

안녕하세요. ESRC입니다. 오늘(4/9) 오전부터 코로나19 바이러스 관련 '긴급재난자금' 상품권을 사칭한 스미싱이 유포되고 있어 주의가 필요합니다. 최근 코로나19 바이러스 감염으로 인한 직.간접적 피해를 입은 국민들의 삶을 지원하고 경기를 활성화 시키기 위한 정부 긴급재난지원금 지급이 논의되고 있으며 이미 인터넷으로는 3/30부터 신청을 접수중인 상태입니다. 또한, 경기도, 제주도, 경상남도, 충청북도, 부산광역시 등 등 많은 지방자치단체들 역시 시도민들의 삶을 돕기 위해 재난기본소득 지급에 대한 내용과 지급 범위에 대해 연이어 발표하고 있습니다. 특히 재난기본소득에 대한 지급을 최초로 결정했던 경기도의 경우 오늘(2020년 4월 9일) 15시부터 재난기본소득 온라인 신청을 오픈할 예정인데요. 공격..

악성코드 분석 리포트 2020. 4. 9. 15:12

안녕하세요. ESRC입니다. 코로나19(Covid-19) 바이러스 키워드를 활용하여 작성된 악성 이메일들이 국내로 지속적으로 유입되고 있습니다. 4월 초에도 인천광역시 감염병 관리지원단을 사칭하여 한글로 작성된 이메일이 유포되었으며, 코로나 19 바이러스가 워낙 글로벌한 이슈이다보니 영문으로 작성된 코로나 19 바이러스 관련 이메일들은 매우 자주 발견되고 있는 상황입니다. ※ 관련 글 보기 ▶ '인천광역시 코로나바이러스 대응' 제목으로 유포중인 악성 메일 주의! (20.04.07) ▶ 김수키(Kimsuky)조직, 코로나 바이러스 이슈를 악용하여 MacOS MS오피스 사용자를 타겟으로 진행중인 APT 공격 주의! (20.03.21) ▶ 한글로 작성된 코로나바이러스 이슈 악용 Hoax 주의! (20.03.1..

악성코드 분석 리포트 2020. 4. 8. 14:22

안녕하세요. 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 최근 경찰청을 사칭한 악성 메일이 발견되어 사용자들의 주의가 필요합니다. [그림 1] 경찰청 사칭 악성 메일 이번에 발견된 메일은 경찰청 초대라는 제목으로 유포되었으며, 어색한 한국어를 구사하고 있습니다. 이메일 하단에 현 경찰청장 이름인 민갑룡 영문이름을 추가하여 사용자들의 신뢰를 얻으려 시도하였습니다. 해당 메일에는 문서.iso 파일이 첨부되어 있습니다. 첨부되어있는 문서.iso 파일 안에는 문서.exe 파일이 포함되어 있습니다. [그림 2] 악성 메일에 포함된 첨부파일 문서.exe 파일 분석 최초 첨부 파일인 ‘문서.exe’은 닷넷 파일으로 자기 자신을 자식 프로세스로 실행한 뒤, ‘Remcos’ 페이로드를 인젝션하는 기능을 수행합니다. ..

악성코드 분석 리포트 2020. 4. 8. 09:44

안녕하세요. ESRC(시큐리티 대응센터)입니다. 코로나19가 여전히 기승을 부리고 있는 요즘, '코로나바이러스 대응 긴급조회'로 위장한 악성 문서파일이 유포되어 사용자들의 각별한 주의가 필요합니다. 관련 내용은 이미 4월 1일, 이스트시큐리티에서 보도자료를 통해 주의를 당부한 적이 있습니다. (▶ 관련기사) [그림 1] '인천시 코로나 바이러스 대응' 제목의 악성 메일 이번에 발견된 이메일은 '인천광역시 코로나바이러스 대응'이라는 제목으로 유포되었으며, 발신자 메일 주소 역시 실제 인천시 소속의 감염병관리지원단이 보낸 것처럼 꾸미고 있습니다. 또한 해당 메일은 개인 이메일로 수신되었으며, 수신자의 이름이 포함되어 있어 유출된 개인정보를 악용한 APT 공격으로 추측하고 있습니다. 악성 메일에는 ‘_인천광역..

악성코드 분석 리포트 2020. 4. 7. 15:47

안녕하세요. ESRC(시큐리티 대응센터)입니다. 일반적인 기업들의 상여금 발급 시즌을 맞이하여 '직원활동상여금발급청구서_1.doc' 파일명으로 악성코드가 유포되고 있어 사용자들의 주의가 필요합니다. 해당 문서에는 악성 매크로가 포함되어 있으며, 워드 파일 내용에 [콘텐츠 사용]을 활성화 하라는 문구로 사용자들에게 매크로 기능 활성을 유도합니다. [그림 1] 악성 매크로가 포함된 워드파일 특이한 점은, 악성 매크로가 포함된 워드문서의 코드페이지 식별자가 중국어(936)로 설정되어 있다는 점 입니다. [그림 2] 코드페이지 설정 화면 만약 사용자가 [콘텐츠 사용]을 눌러 매크로 기능을 활성시킨다면, 워드문서에 포함되어 있던 악성 VBA매크로가 실행되게 됩니다. 이렇게 실행된 악성 VBA매크로는 미리 설정된 ..

악성코드 분석 리포트 2020. 4. 7. 14:26