안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 호주의 물류회사와 스페인에 위치한 병원에 랜섬웨어 공격이 발생했습니다. 주로 기업 네트워크를 타깃으로 하는 이번 공격에 사용된 랜섬웨어는 Mailto 랜섬웨어의 변종으로 Netwalker 로도 알려져있습니다. 해외에서 신종 코로나 바이러스의 확진자가 지속적으로 발생하면서 해당 공격자들이 랜섬웨어 설치를 위해 코로나19 이슈를 이용하여 피싱 이메일을 사용하고 있는 것으로 확인되었습니다. [그림] 랜섬노트 화면 해당 랜섬웨어는 기업을 타겟으로 하고, 최근에는 코로나19 확산에 따른 사회적 관심과 불안감을 악용하는 랜섬웨어입니다. 랜섬웨어를 예방하기 위해서는 기본 보안 수칙을 준수하고, 윈도우, 애플리케이션을 최신으로 업데이트해야 합니다...

악성코드 분석 리포트 2020. 4. 16. 17:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 애플 사용자를 대상으로 한 피싱 공격들이 지속적으로 발견되고 있어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 “앱 스토어에서 구매 증명 2020년 04월 13일”이라는 제목으로 사용자가 구매하지 않은 구매 영수증을 보냄으로써 구매 확인을 위해 애플 사이트에 로그인하도록 유도하는 클릭 유도형 방식을 사용하였습니다. [그림 1] 허위 구매 영수증을 이용한 피싱 공격 이메일 피싱 메일을 받은 사용자가 허위 구매영수증을 확인 후 구매확인을 위해 본문에 기재된 링크를 클릭 할 경우 계정과 패스워드를 가로채기 위한 피싱 사이트로 이동하게 됩니다. [그림 2] 이동 된 피싱 사이트 화면 사용자가 접속된 피싱 사이트에 계정과 패스워드를 입력할 경우, 개인 ..

악성코드 분석 리포트 2020. 4. 15. 08:30

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 저금리 대출 문자메시지를 발송한 후 전화상담을 통한 사용자에게만 카카오톡 메시지를 보내어 악성 앱을 다운로드 받게 하는 최신 스미싱 공격이 등장하였습니다. [그림 1] 최신 스미싱 공격에 사용 된 문자 메시지 사용자가 받은 문자메시지에는 기존에 발견되었던 스미싱 메시지와는 다르게 악성 앱을 다운로드 할 수 있는 링크는 존재하지 않습니다. 해당 문자메시지를 받은 후 일정 시간이 지나면 전화상담이 이루어지고 상담이 완료된 사용자에게만 카카오톡 메시지를 통해 스미싱 메시지를 전달하게 됩니다. [그림 2] 카카오톡으로 전달 된 스미싱 메시지 화면 카카오톡으로 전달된 메시지에는 기존 은행에서 대출 신청 시 받는 메지시와 유사하게 꾸며져 있으며 대출 신청서 작성..

악성코드 분석 리포트 2020. 4. 14. 10:33

안녕하세요?ESRC(시큐리티대응센터)입니다. 지난 3월초 대량으로 이력서를 사칭하여 유포되었던 Makop 랜섬웨어 이메일이 4월초부터 다시금 유포가 이뤄지고 있습니다. ※ 관련글 바로가기 ▶ 비너스락커 조직이 이중압축을 통해 유포하고 있는 Makop 랜섬웨어 주의! (20.03.06)▶ 비너스락커 조직, 지원서 사칭 이메일을 통해 Makop 랜섬웨어 대량 유포중! (20.03.04) 이번에 발견된 이력서 사칭 악성 이메일 역시 국내 대형 포털 이메일을 사용하고, 이메일 본문에 문장을 작성시 마침표를 생략하며 이중압축을 하는 등의 특징을 보았을 때 비너스락커 조직이 유포하는 것으로 추정됩니다. [그림 1] 지원서 사칭 랜섬웨어 악성 이메일 이력서를 사칭하는 메일 특성상 꾸준히 첨부파일에 포함된 문서위장 파..

악성코드 분석 리포트 2020. 4. 13. 16:43

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 애플 사용자를 대상으로 한 피싱 공격들이 발견되어 사용자들의 주의가 필요합니다. 해당 메일은 “알 수 없는 기기를 사용하여 로그인”이라는 제목으로 비정상적인 로그인이 발생하였기 때문에 본문에 기재된 링크를 통해 확인하라는 클릭 유도형 방식을 사용하였습니다. [그림 1] 애플 사용자 피싱 공격에 사용된 이메일 피싱 메일을 받은 사용자가 로그인 정보를 확인하기 위해 본문에 기재된 링크를 클릭할 경우 허위 로그인 정보를 포함한 PDF가 다운로드 되고 바로 사용자에게 보여집니다. [그림 2] 허위 로그인 정보가 담긴 PDF파일 화면 사용자가 본인의 계정을 보호하기 위해 PDF에 삽입된 링크를 클릭할 경우 계정과 패스워드를 가로채기 위한 피싱 사이트로 이동하게..

악성코드 분석 리포트 2020. 4. 10. 13:24

안녕하세요. 이스트시큐리티 ESRC(시큐리티 대응센터)입니다. 김수키(Kimsuky) 조직의 '스모크 스크린' 캠페인의 일환으로 추정되는 공격이 또 한번 포착되어 사용자들의 주의가 필요합니다. 이번 공격에 사용된 악성 파일은 '21대 국회의원 선거 관련.docx', '외교문서 관련(이재춘국장).docx' 파일을 위장하고 있습니다. 이번에 발견된 두 개의 악성 워드파일들의 파일명은 다르지만, 동작방식은 동일합니다. 먼저 악성 DOCX 문서가 실행되면, 아래와 같은 내부 'settings.xml.rels' 명령이 작동하고, 악성 매크로 함수실행을 위해 특정 미리네 호스팅 C2 서버로 통신을 시도합니다. DOCX 문서 파일의 작성자는 'seong jin lee' 이름이 등록되어 있으며, 마지막 수정자는 'Ro..

악성코드 분석 리포트 2020. 4. 10. 09:06

안녕하세요. ESRC입니다. 오늘(4/9) 오전부터 코로나19 바이러스 관련 '긴급재난자금' 상품권을 사칭한 스미싱이 유포되고 있어 주의가 필요합니다. 최근 코로나19 바이러스 감염으로 인한 직.간접적 피해를 입은 국민들의 삶을 지원하고 경기를 활성화 시키기 위한 정부 긴급재난지원금 지급이 논의되고 있으며 이미 인터넷으로는 3/30부터 신청을 접수중인 상태입니다. 또한, 경기도, 제주도, 경상남도, 충청북도, 부산광역시 등 등 많은 지방자치단체들 역시 시도민들의 삶을 돕기 위해 재난기본소득 지급에 대한 내용과 지급 범위에 대해 연이어 발표하고 있습니다. 특히 재난기본소득에 대한 지급을 최초로 결정했던 경기도의 경우 오늘(2020년 4월 9일) 15시부터 재난기본소득 온라인 신청을 오픈할 예정인데요. 공격..

악성코드 분석 리포트 2020. 4. 9. 15:12

안녕하세요. ESRC입니다. 코로나19(Covid-19) 바이러스 키워드를 활용하여 작성된 악성 이메일들이 국내로 지속적으로 유입되고 있습니다. 4월 초에도 인천광역시 감염병 관리지원단을 사칭하여 한글로 작성된 이메일이 유포되었으며, 코로나 19 바이러스가 워낙 글로벌한 이슈이다보니 영문으로 작성된 코로나 19 바이러스 관련 이메일들은 매우 자주 발견되고 있는 상황입니다. ※ 관련 글 보기 ▶ '인천광역시 코로나바이러스 대응' 제목으로 유포중인 악성 메일 주의! (20.04.07) ▶ 김수키(Kimsuky)조직, 코로나 바이러스 이슈를 악용하여 MacOS MS오피스 사용자를 타겟으로 진행중인 APT 공격 주의! (20.03.21) ▶ 한글로 작성된 코로나바이러스 이슈 악용 Hoax 주의! (20.03.1..

악성코드 분석 리포트 2020. 4. 8. 14:22