안녕하세요. 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 최근 경찰청을 사칭한 악성 메일이 발견되어 사용자들의 주의가 필요합니다. [그림 1] 경찰청 사칭 악성 메일 이번에 발견된 메일은 경찰청 초대라는 제목으로 유포되었으며, 어색한 한국어를 구사하고 있습니다. 이메일 하단에 현 경찰청장 이름인 민갑룡 영문이름을 추가하여 사용자들의 신뢰를 얻으려 시도하였습니다. 해당 메일에는 문서.iso 파일이 첨부되어 있습니다. 첨부되어있는 문서.iso 파일 안에는 문서.exe 파일이 포함되어 있습니다. [그림 2] 악성 메일에 포함된 첨부파일 문서.exe 파일 분석 최초 첨부 파일인 ‘문서.exe’은 닷넷 파일으로 자기 자신을 자식 프로세스로 실행한 뒤, ‘Remcos’ 페이로드를 인젝션하는 기능을 수행합니다. ..

악성코드 분석 리포트 2020. 4. 8. 09:44

안녕하세요. ESRC(시큐리티 대응센터)입니다. 코로나19가 여전히 기승을 부리고 있는 요즘, '코로나바이러스 대응 긴급조회'로 위장한 악성 문서파일이 유포되어 사용자들의 각별한 주의가 필요합니다. 관련 내용은 이미 4월 1일, 이스트시큐리티에서 보도자료를 통해 주의를 당부한 적이 있습니다. (▶ 관련기사) [그림 1] '인천시 코로나 바이러스 대응' 제목의 악성 메일 이번에 발견된 이메일은 '인천광역시 코로나바이러스 대응'이라는 제목으로 유포되었으며, 발신자 메일 주소 역시 실제 인천시 소속의 감염병관리지원단이 보낸 것처럼 꾸미고 있습니다. 또한 해당 메일은 개인 이메일로 수신되었으며, 수신자의 이름이 포함되어 있어 유출된 개인정보를 악용한 APT 공격으로 추측하고 있습니다. 악성 메일에는 ‘_인천광역..

악성코드 분석 리포트 2020. 4. 7. 15:47

안녕하세요. ESRC(시큐리티 대응센터)입니다. 일반적인 기업들의 상여금 발급 시즌을 맞이하여 '직원활동상여금발급청구서_1.doc' 파일명으로 악성코드가 유포되고 있어 사용자들의 주의가 필요합니다. 해당 문서에는 악성 매크로가 포함되어 있으며, 워드 파일 내용에 [콘텐츠 사용]을 활성화 하라는 문구로 사용자들에게 매크로 기능 활성을 유도합니다. [그림 1] 악성 매크로가 포함된 워드파일 특이한 점은, 악성 매크로가 포함된 워드문서의 코드페이지 식별자가 중국어(936)로 설정되어 있다는 점 입니다. [그림 2] 코드페이지 설정 화면 만약 사용자가 [콘텐츠 사용]을 눌러 매크로 기능을 활성시킨다면, 워드문서에 포함되어 있던 악성 VBA매크로가 실행되게 됩니다. 이렇게 실행된 악성 VBA매크로는 미리 설정된 ..

악성코드 분석 리포트 2020. 4. 7. 14:26

안녕하세요. ESRC(시큐리티 대응센터)입니다. 비너스락커 조직이 지속적으로 공정거래위원회를 사칭하여 랜섬웨어를 유포중에 있어 사용자들의 주의가 필요합니다. [그림 1] 공정거래위원회 사칭 메일 비너스락커 조직은 이미 몇년 전 부터 공정거래위원회를 사칭하여 랜섬웨어를 유포하였으며, 유포하는 랜섬웨어 종류는 바뀌었지만 그 수법은 매우 유사합니다. 이에 ESRC에서는 공정거래위원회 사칭 악성메일에 대해 이미 여러차례 주의를 당부드렸었습니다. ※ 공정거래위원회 사칭 악성메일 관련 글 ▶ 공정거래위원회를 사칭한 악성 메일 주의! 비너스락커 조직의 소행으로 추정 (2020.01.03)▶ Nemty 랜섬웨어, 공문을 사칭한 악성 메일을 통해 지속적으로 유포중! (2019.11.13)▶ 비너스락커, 공정거래위원회 사..

악성코드 분석 리포트 2020. 4. 3. 09:25

안녕하세요. ESRC(시큐리티 대응센터)입니다. 비너스락커 조직, 여전히 이력서를 위장해 랜섬웨어 유포중인것으로 확인되었습니다. [그림 1] 이력서를 위장한 악성 메일 이번에 발견된 악성메일에 포함된 첨부파일도 기존에 유포되었던 악성파일들과 마찬가지로 압축파일 안에 또 다른 압축파일이 포함된 이중압축을 통해 보안sw의 탐지를 우회하려고 시도하고 있습니다. [그림 2] 압축파일 안에 또 다른 압축파일이 포함 이중압축 내부에는 pdf 파일을 위장한 exe 파일이 포함되어 있습니다. [그림 3] 이중압축 해제 후 보이는 파일 사용자가 만약 이중압축 해제 후, 압축파일에 포함되어 있던 실행파일을 실행하면 Nemty 랜섬웨어 3.1버전에 감염되게 됩니다. [그림 4] 랜섬노트 현재 알약에서는 해당 랜섬웨어에 대해..

악성코드 분석 리포트 2020. 4. 2. 15:48

안녕하세요? 이스트시큐리티 ESRC입니다. 최근 크게 이슈가 되고 있는 'n번방 사건' 관련 스미싱(Smishing) 공격이 확인되어 사용자들의 각별한 주의가 필요합니다. 'n번방 사건'은 2018년 하반기부터 2020년 3월까지 텔레그램 및 기타 메신저 앱을 이용해 벌어진 대규모 디지털 성범죄/성착취 사건이며, 피해자 중 미성년자가 대거 포함되어 있어 더욱 더 큰 충격을 주고 있는 희대의 범죄 사건입니다. 관련기사 : http://news.zum.com/articles/59100653 공격자들은 이러한 희대의 범죄 사건에 쏠리는 사람들의 관심을 이용하여 스미싱 공격에 활용하고 있습니다. 3/29 오후부터 유포되기 시작한 스미싱 내용은 다음과 같습니다. TTN（속보）N번방 전체회원 신상공개 https:/..

악성코드 분석 리포트 2020. 3. 30. 19:35

'오퍼레이션 스파이 클라우드(Operation Spy Cloud)' APT 공격 배경 안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 2020년 03월 초, 일명 '금성121(Geumseong121)'로 명명된 국가차원의 APT(지능형지속위협) 그룹의 새로운 공격 정황이 포착되었습니다. 이들은 대한민국 사이버 공간을 주요 거점지로 삼아 다양한 스파이 활동을 수행하고 있으며, 주로 외교·통일·안보분야 종사자나 대북관련 단체장, 탈북민을 겨냥한 위협을 가속화하고 있습니다. ESRC에서는 알약(ALYac) 포함 다채널 위협 인텔리전스 센서를 통해 수집된 각종지표와 증거를 기반으로 이번 침해공격 실체를 분석하였습니다. 작년 11월 '금성121, 북한 이탈주민 후원 사칭 '드래곤 메신저' 모바일 A..

악성코드 분석 리포트 2020. 3. 30. 16:33

개요 코로나19로 인하여 생활의 많은 부분에서 변화가 생겼습니다. 대부분의 국민들은 코로나19 감염을 우려하여 사람이 밀집되는 지역이나 장소를 기피하게 되었으며 오프라인 쇼핑과 외식보다는 온라인 쇼핑과 배달(택배)을 이용하고 있습니다. 스미싱 공격 조직은 이 기회를 최대한 활용하기 위해서 택배 스미싱 공격을 활발하게 진행하고 있으며 탐지 회피를 위해 스미싱 택배 문구도 다변화하는 양상을 보이고 있습니다. 택배 스미싱은 비교적 널리 알려져 있어 쉽게 당하지 않을 것으로 생각하지만 의외로 피해를 입는 경우가 많습니다. 택배 스미싱 문구가 실제 택배 기사님들이나 회사에서 보내는 것으로 보이도록 작성되어 있으며 더러는 피해자의 이름이 명시되어 있는 경우도 있기 때문입니다. 그러나 택배 스미싱 문자를 주의 깊게 ..

악성코드 분석 리포트 2020. 3. 30. 10:35