안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 전 세계가 신종 코로나 바이러스 감염증 일명 ‘우한 폐렴’ 공포에 휩싸인 가운데, 우리나라도 네 번째 확진자가 발생하면서 감염 확산 우려가 커지고 있습니다. 이러한 와중에 최근 사용자들의 공포심을 이용해 우한 폐렴과 관련한 사회적 이슈를 악용한 광고성 문자 메시지가 유포되는 것이 확인되어 사용자들의 주의가 필요합니다. 유포된 광고성 문자 메시지의 내용은 아래와 같고, 3가지 사례가 보고되었습니다. - [Web발신] 국내 우한폐렴 급속도확산 감염자 및 접촉자 신분정보 확인하기 news.naver.com.xco.kr - [Web발신] (속보)박근혜전대통령 숨진채 발견 뉴스 news.naver.coi.kr 보러가기 - [Web발신] 코로나 전염병환자..

악성코드 분석 리포트 2020. 1. 28. 15:35

안녕하세요? 이스트시큐리티 ESRC 입니다. 2020년 연초부터 다양한 부류의 스미싱 공격이 활발하게 진행되고 있습니다. 다양한 스미싱 공격 중에서도 민족 고유 명절인 설날 시즌 택배를 사칭한 스미싱 공격의 비중이 증가되는 양상입니다. ▶ 혹시 내 스마트폰도? 안전한 설날을 보내기 위한 모바일 보안 수칙! ESRC에서는 꾸준하게 스미싱 공격을 추적 조사하고 있으며 다수의 공격 조직이 있을 것으로 추측하고 있습니다. 문자의 내용이나 유포하는 악성 앱의 종류에 따라 공격 조직이 다를 것으로 판단됩니다. 다양한 스미싱 공격을 수행하는 공격 조직의 스미싱 공격에 대해 알아보고 공격의 대응 방법도 알아보도록 하겠습니다. 스미싱 공격 흐름 스미싱 공격은 언제나 시의적절하게 스미싱 문구의 내용을 변화 시키며 꾸준하게..

악성코드 분석 리포트 2020. 1. 25. 11:47

안녕하세요. ESRC 입니다. 이메일 계정을 탈취하는 피싱 메일이 유포중에 있어 사용자들의 주의가 필요합니다. 이번 피싱 메일은 견적 송장을 위장하고 있습니다. [그림1] 악성 메일 피싱 메일은 첨부한 파일을 확인하라는 내용과 함께 htm 파일을 첨부합니다. 만약 사용자가 첨부되어 있는 html 파일을 클릭하면 다음과 같이 PDF를 내려받으라는 페이지가 뜨며, 다운로드 PDF 버튼을 클릭하면 이메일 계정정보를 입력하라는 창이 나타납니다. [그림2] PDF 다운로드 페이지를 위장한 페이지 [그림3] 계정 입력을 유도하는 창 사용자가 만약 이 이메일 입력란에 이메일 계정정보를 입력하고 계속 버튼을누르면 비밀번호를 입력하라는 창이 뜨며, 사용자가 비밀번호와 이메일을 입력할 경우 이렇게 입력한 정보들을 모두 해..

악성코드 분석 리포트 2020. 1. 22. 13:00

안녕하세요 ESRC 입니다. 국내 기간통신사업자를 사칭한 피싱 메일을 통해 Emotet 악성코드가 유포중에 있어 기업 사용자들의 각별한 주의가 필요합니다. 금일 발견된 피싱 메일은 회선 절체 작업, 운영보고서 등 기업 운영에 관련된 내용을 사칭하고 있으며, 본문에는 별다른 내용 없이 첨부파일 클릭을 유도합니다. [그림1] 피싱 메일 사용자가 피싱메일에 첨부된 악성 문서파일을 실행하게 되면, 다음과 같은 안내를 사용자에게 보여주어 [콘텐츠 사용] 버튼을 눌러 매크로 기능을 활성시키도록 유도합니다. [그림2] 피싱메일에 첨부된 악성문서파일 악성 매크로는 쓰레기 코드와 함께 파워쉘을 실행하는 코드를 포함하고 있습니다. [그림3] 워드파일에 포함된 악성 매크로 powershell.exe 프로세스 매개변수로 전달..

악성코드 분석 리포트 2020. 1. 21. 17:04

안녕하세요. ESRC 입니다. 2020년 01월 20일, PDF 문서파일을 위장한 악성 EXE 파일이 발견되었습니다. 이 파일은 한국시간으로 1월 17일 오전 9시경 제작한 것으로 확인되었습니다. 파일명 제작 시점 (KST) MD5 오성사 MC2-500 외형도 P1307033 Model_수정.pdf(다수의 공백포함).exe 2020-01-17 09:33:41 da799d16aed24cf4f8ec62d5048afd1a 파일명에는 '오성사 MC2-500 외형도 P1307033 Model_수정.pdf' 라고 되어 있고, 첫번째 확장자는 pdf 문서형식이지만, 다수의 공백을 포함한 2중 확장자로 실제로는 exe 실행파일 형식을 가지고 있습니다. 지난 12월 4일 ESRC에서는 ‘김수키 조직, 청와대 녹지원/상춘..

악성코드 분석 리포트 2020. 1. 21. 10:18

안녕하세요.이스트시큐리티 ESRC 입니다. '북한 중앙위원회 전원회의', '2020년 동경 패럴림픽' 관련 문서로 위장한 코니(Konni) APT 그룹 스피어피싱 공격이 포착되었습니다. * 코니(Konni) APT 조직 2014년도부터 지금까지 꾸준히 활동을 하고있는 APT 조직으로, 스피어피싱 공격방식을 사용하며, 주로 북한과 관련된 내용이나 현재 사회적으로 화두가 되고 있는 이슈들로 사용자들의 클릭을 유도합니다. 2019년 6월, 이스트시큐리티는 코니(Konni)조직을 추적하는 과정 중 김수키(Kimsuky)조직과 관련된 몇가지 의심스러운 정황들을 포착하였으며, 코니와 김수키 조직이 특별한 관계에 있을 것이라고 추측중에 있습니다. 이번에 발견된 2개의 악성문서는 각각 1월 14일과 15일에 제작된 것..

악성코드 분석 리포트 2020. 1. 16. 16:47

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 해당 악성 앱은 안드로이드의 웹 뷰 기능을 통해서 특정 성인 사이트를 로드합니다. 기기의 전화번호 정보를 수집하며 주소록, 통화목록, 문자 관련 개인 정보를 xml 파일로 저장하고 압축 후 C&C 서버로 탈취합니다. [그림] C&C로 탈취되는 정보 해당 악성 앱은 성인 앱으로 속이며 개인 및 기기와 관련된 다양한 정보를 탈취합니다. 따라서 악성 앱으로부터 피해를 최소화하기 위해서는 백신 앱을 통한 주기적인 검사가 중요합니다. 출처가 불명확한 URL과 파일은 실행하지 않는 것이 기본이고 공식 마켓인 구글 플레이스토어를 통해서 확보한 앱이라도 백신 앱을 추가 설치하여 주기적으로 업데이트하고 검사해야 합니다. 현재 알약M에서는 해당 악성 앱을 ..

악성코드 분석 리포트 2020. 1. 16. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 국내 기업에 주문 리스트를 확인해달라는 내용의 메일로 ‘Trojan.PSW.AveMaria’(이하 ‘AveMaria’) 악성코드가 유포되고 있습니다. ‘AveMaria’는 메일에 첨부된 ‘New Order List.doc’ 악성 문서 파일에서 드롭되어 실행됩니다. [그림] 주문 리스트 확인 악성 메일 악성 문서 파일에서 실행되는 ‘AveMaria’는 명령 제어 기능을 수행합니다. C&C에서 공격자 명령에 따라 감염PC 정보 수집, 웹 브라우저 및 전자 메일 프로그램에 저장된 계정 정보 탈취, 키로깅 등의 다양한 악성 기능이 수행될 수 있어서 사용자들의 주의가 필요합니다. 현재 알약에서는 해당 악성 코드를 ‘Trojan.PSW.AveM..

악성코드 분석 리포트 2020. 1. 15. 14:00