안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 2020년 02월 06일, 전 ○○ 교육원 관계자의 실제 주민등록등본 PDF 스캔파일처럼 위장한 APT(지능형지속위협) 공격이 등장했습니다. 해당 악성파일의 알약 탐지명은 'Trojan.Dropper.1081856K' 입니다. 이번 공격은 지난 2019년 12월 04일 공개된 바 있는 '김수키 조직, 청와대 녹지원/상춘재 행사 견적서 사칭 APT 공격' 사례의 3번째 변종으로 확인되었습니다. 【오퍼레이션 블루 에스티메이트 (Operation Blue Estimate)】 파일명 제작날짜 (타임스탬프) MD5 베트남 녹지원 상춘재 행사 견적서.hwp(다수의 공백 포함) .exe 2019-12-02 18:01:05 (KST) 35d60d2723c6..

악성코드 분석 리포트 2020. 2. 6. 23:38

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 작년 연말부터 유포되기 시작한 “중요사항 공지” 스미싱 공격이 최근까지도 활발하게 진행되고 있습니다. 그리고 ESRC의 추적 조사 결과에 따르면 최근 한국, 일본 등을 대상으로 공격 횟수가 증가하고 있음을 감지하였습니다. "중요 공지사항" 스미싱(이하 스미싱) 공격에 사용되는 악성 앱은 작년 하반기에는 택배회사를 사칭하는 스미싱 공격에 사용되었습니다. 스미싱 공격에 대하여 알아보도록 하겠습니다. 스미싱 분석 해당 스미싱은 다음 그림과 같은 문자로 공격을 시작됩니다. [그림 1] 스미싱 문자 피해자가 스미싱 문자 내의 링크를 클릭하면 공격자의 유포 서버로 접속됩니다. 이때 공격자의 유포 서버는 피해자의 브라우저 환경을 파악하여 반응을 달리하게 ..

악성코드 분석 리포트 2020. 2. 3. 17:28

안녕하세요.이스트 시큐리티 ESRC입니다. 구정 연휴가 끝나자마자 Emotet 악성코드가 또다시 기승을 부리고 있어 사용자들의 주의가 필요합니다. [그림1] 악성 메일 이번에 유포된 악성 메일은 어색한 한국어로 작성되어 있으며, 사용자의 사적인 데이터와 재무 데이터를 탈취했다며 사용자에게 금전적인 요구를 하고 있습니다. 어색한 한국어는 번역기를 돌려 작성한 것으로 추정됩니다. 악성메일에는 악성 문서 파일이 포함되어 있습니다. 만약 사용자가 첨부된 악성 문서 파일을 실행하게 되면, 아래와 같은 안내를 사용자에게 보여주어 공격자가 심어 놓은 매크로를 실행시키도록 유도합니다. [그림2] 매크로 실행을 유도하는 악성 DOC 파일 매크로는 가비지 코드와 함께 파워셸을 실행하는 코드를 포함하고 있습니다. [그림3]..

악성코드 분석 리포트 2020. 1. 29. 08:49

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 전 세계가 신종 코로나 바이러스 감염증 일명 ‘우한 폐렴’ 공포에 휩싸인 가운데, 우리나라도 네 번째 확진자가 발생하면서 감염 확산 우려가 커지고 있습니다. 이러한 와중에 최근 사용자들의 공포심을 이용해 우한 폐렴과 관련한 사회적 이슈를 악용한 광고성 문자 메시지가 유포되는 것이 확인되어 사용자들의 주의가 필요합니다. 유포된 광고성 문자 메시지의 내용은 아래와 같고, 3가지 사례가 보고되었습니다. - [Web발신] 국내 우한폐렴 급속도확산 감염자 및 접촉자 신분정보 확인하기 news.naver.com.xco.kr - [Web발신] (속보)박근혜전대통령 숨진채 발견 뉴스 news.naver.coi.kr 보러가기 - [Web발신] 코로나 전염병환자..

악성코드 분석 리포트 2020. 1. 28. 15:35

안녕하세요? 이스트시큐리티 ESRC 입니다. 2020년 연초부터 다양한 부류의 스미싱 공격이 활발하게 진행되고 있습니다. 다양한 스미싱 공격 중에서도 민족 고유 명절인 설날 시즌 택배를 사칭한 스미싱 공격의 비중이 증가되는 양상입니다. ▶ 혹시 내 스마트폰도? 안전한 설날을 보내기 위한 모바일 보안 수칙! ESRC에서는 꾸준하게 스미싱 공격을 추적 조사하고 있으며 다수의 공격 조직이 있을 것으로 추측하고 있습니다. 문자의 내용이나 유포하는 악성 앱의 종류에 따라 공격 조직이 다를 것으로 판단됩니다. 다양한 스미싱 공격을 수행하는 공격 조직의 스미싱 공격에 대해 알아보고 공격의 대응 방법도 알아보도록 하겠습니다. 스미싱 공격 흐름 스미싱 공격은 언제나 시의적절하게 스미싱 문구의 내용을 변화 시키며 꾸준하게..

악성코드 분석 리포트 2020. 1. 25. 11:47

안녕하세요. ESRC 입니다. 이메일 계정을 탈취하는 피싱 메일이 유포중에 있어 사용자들의 주의가 필요합니다. 이번 피싱 메일은 견적 송장을 위장하고 있습니다. [그림1] 악성 메일 피싱 메일은 첨부한 파일을 확인하라는 내용과 함께 htm 파일을 첨부합니다. 만약 사용자가 첨부되어 있는 html 파일을 클릭하면 다음과 같이 PDF를 내려받으라는 페이지가 뜨며, 다운로드 PDF 버튼을 클릭하면 이메일 계정정보를 입력하라는 창이 나타납니다. [그림2] PDF 다운로드 페이지를 위장한 페이지 [그림3] 계정 입력을 유도하는 창 사용자가 만약 이 이메일 입력란에 이메일 계정정보를 입력하고 계속 버튼을누르면 비밀번호를 입력하라는 창이 뜨며, 사용자가 비밀번호와 이메일을 입력할 경우 이렇게 입력한 정보들을 모두 해..

악성코드 분석 리포트 2020. 1. 22. 13:00

안녕하세요 ESRC 입니다. 국내 기간통신사업자를 사칭한 피싱 메일을 통해 Emotet 악성코드가 유포중에 있어 기업 사용자들의 각별한 주의가 필요합니다. 금일 발견된 피싱 메일은 회선 절체 작업, 운영보고서 등 기업 운영에 관련된 내용을 사칭하고 있으며, 본문에는 별다른 내용 없이 첨부파일 클릭을 유도합니다. [그림1] 피싱 메일 사용자가 피싱메일에 첨부된 악성 문서파일을 실행하게 되면, 다음과 같은 안내를 사용자에게 보여주어 [콘텐츠 사용] 버튼을 눌러 매크로 기능을 활성시키도록 유도합니다. [그림2] 피싱메일에 첨부된 악성문서파일 악성 매크로는 쓰레기 코드와 함께 파워쉘을 실행하는 코드를 포함하고 있습니다. [그림3] 워드파일에 포함된 악성 매크로 powershell.exe 프로세스 매개변수로 전달..

악성코드 분석 리포트 2020. 1. 21. 17:04

안녕하세요. ESRC 입니다. 2020년 01월 20일, PDF 문서파일을 위장한 악성 EXE 파일이 발견되었습니다. 이 파일은 한국시간으로 1월 17일 오전 9시경 제작한 것으로 확인되었습니다. 파일명 제작 시점 (KST) MD5 오성사 MC2-500 외형도 P1307033 Model_수정.pdf(다수의 공백포함).exe 2020-01-17 09:33:41 da799d16aed24cf4f8ec62d5048afd1a 파일명에는 '오성사 MC2-500 외형도 P1307033 Model_수정.pdf' 라고 되어 있고, 첫번째 확장자는 pdf 문서형식이지만, 다수의 공백을 포함한 2중 확장자로 실제로는 exe 실행파일 형식을 가지고 있습니다. 지난 12월 4일 ESRC에서는 ‘김수키 조직, 청와대 녹지원/상춘..

악성코드 분석 리포트 2020. 1. 21. 10:18