안녕하세요 ESRC 입니다. 최근 소디노키비(Sodinokibi) 랜섬웨어의 커스텀 변종이 자주 발견되고 있어 사용자들의 주의가 필요합니다. 랜섬웨어의 커스텀 변종이란, 기존 랜섬웨어 랜섬노트의 텍스트 일부를 해커가 임의로 수정한 버전을 말합니다. 소디노키비(Sodinokibi) 랜섬웨어의 커스텀 변종은 기존 소디노키비(Sodinokibi) 랜섬웨어 변종들과 동일한 특징을 갖고 있지만, 일부 랜섬노트의 파일명과 내용을 일부 변경하였습니다. [그림1] 기존 Sodinokibi 랜섬웨어 랜섬노트 [그림2] Sodinokibi 랜섬웨어 커스텀 변종 랜섬노트 이런 랜섬웨어 커스텀 변종들의 경우 주로 특정 타겟에 맞춰 커스터마이징 하는 특징을 갖고 있습니다. 일례로, 연말에 유포된 소디노키비(Sodinokibi)..

악성코드 분석 리포트 2020. 1. 14. 13:14

안녕하세요 ESRC 입니다. 최근 통일외교안보특보 세미나 발표문서처럼 사칭해 특정 관계자 정보를 노린 스피어 피싱(Spear Phishing) 공격이 발견돼 관련 업계 종사자의 각별한 주의가 필요합니다. 이번 공격에 사용된 악성 DOC 문서는 지난 6일(현지시간) 미 워싱턴 DC 국익연구소의 2020년 대북 전망 세미나 관련 질의응답 내용 등을 담고 있습니다. 이스트시큐리티는 2019년 4월, 처음 한ㆍ미를 겨냥한 APT 공격을 발견하였고, 이 공격을 '스모크 스크린(Smoke Screen)'캠페인이라 명명하였습니다. 스모크 스크린(Smoke Screen) 캠페인 스피어피싱 방식으로 특정 공격타겟에게만 은밀히 악성 파일(.hwp 혹은 doc)이 첨부된 이메일을 발송한다.외형적으로 정치, 대북 관련 키워드..

악성코드 분석 리포트 2020. 1. 14. 08:26

안녕하세요이스트시큐리티 ESRC 입니다. 최근 이메일 보안솔루션의 스팸필터 로직 우회를 시도하는 혹스 메일이 발견되어 사용자들의 주의가 필요합니다. [그림1] 이메일 보안솔루션의 스팸필터 로직 우회를 시도하는 혹스 메일 Hěllø! Í åm å håcker whø hås åccess tø yøür øpěråtíng systěm.Í ålsø håvě full åccěss tø yøür åccøüňt. Í'vě běěn wåtchíng yøü før å fěw mønths nøw.Thě fåct ís thåt yøü wěrě ínfěctěd wíth målwårě thrøügh ån ådült sítě thåt yøü vísítěd. Íf yøü årě nøt fåmílíår wíth thís, Í wíll..

악성코드 분석 리포트 2020. 1. 10. 09:36

안녕하세요. 이스트시큐리티 ESRC 입니다. 최근 Apple iPhone 분실 관련 메시지가 iMessage를 이용하여 유포되고 있는 정황이 포착되었습니다. 수신된 iMessage 내용은 아래와 같습니다. [그림 1] iMessage로 발송된 스미싱 메시지 (출처 : 네이버 지식인) ※ 스미싱 상세내용 Apple 고객센터고객님 안녕하세요. 고객님께서 분실하신 아이폰 찾았습니다. 아래의 주소 https://www.apple.com-sr.kr 연결하여 상세한 위치를 확인하고 기기를 활성화하십시오. 고객님의 아이폰 찾기에 협조해드리겠습니다.Apple 지원팀 Apple 고객센터고객님 안녕하세요. 고객님께서 분실하신 iPhone XS Max를 찾았습니다. 고객님께서 https://www.apple.com-sr.k..

악성코드 분석 리포트 2020. 1. 8. 10:29

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 공정거래위원회를 사칭하여 유포중인 피싱 메일에 대해 주의가 필요합니다. 현재 유포중인 메일은 '전자상거래 위반행위 조사통지서'라는 제목을 갖고있으며, 공정거래 위원회가 발송한것처럼 위장하고 있습니다. 해당 메일은 1월 1일 오전에 발송되었으며, 사무관, 과장 등의 직함을 사용하여 실제 공무원인것처럼 사칭하였습니다. [그림1] 공정거래위원회를 사칭한 악성 메일 공정거래위원회를 사칭한 악성 메일은 새로운 것은 아닙니다. 2018년부터 등장한 공정거래위원회 사칭 악성메일은 2019년도에도 꾸준히 등장하였음, 이스트시큐리티 블로그에서도 '공정거래위원회 사칭 메일'에 대해 꾸준히 다뤄왔습니다. ※ 공정거래위원회를 사칭한 악성 이메일 ▶ Nemty 랜섬웨..

악성코드 분석 리포트 2020. 1. 3. 08:23

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 하반기부터 스미싱이 급증하는 추세입니다. 그리고 급증하는 만큼 스미싱 악성 앱들의 종류도 다양해지고 있습니다. 그중에는 글로벌 하게 활동 중인 "xLoader"의 변종도 포함되어 있었습니다. 해당 악성 앱은 최근 업데이트되어 유포된 것으로 보이며 26개국의 언어를 지원하도록 제작되어있습니다. 그리고 배포 방법이 스미싱을 활용하는 것으로 변경되었습니다. ESRC에서 수집되는 택배 스미싱을 통해서도 악성 앱이 유입되고 있음을 확인하였습니다. [그림] 하드 코딩 된 26개국어 스트링 향후 스미싱이나 소셜네트워크를 유포방법으로 활용하는 악성 앱들이 더욱 증가할 것으로 예측됩니다. 이는 공격자 입장에서 공식 스토어나 웹사이트를 통한 유포 방법보다 ..

악성코드 분석 리포트 2019. 12. 20. 13:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 현재 하나은행 보안메일을 위장한 악성메일이 유포되고 있어 사용자들의 각별한 주의가 필요합니다. [그림1] KEB하나은행 보안메일을 위장한 악성 메일 해당 메일은 KEB 하나은행의 보안메일을 위장하고 있으며, html 파일이 첨부되어 있습니다. [그림2] 하나은행 보안메일 위장 html 사용자가 해당 html 파일을 클릭하면, 정상적인 이메일 보안메일과 동일하게 생년월일 6자리를 입력하라는 페이지가 뜨며, 패스워드 입력 시 xls 문서가 내려옵니다. [그림3] 하나은행 보안메일 위장 html에 패스워드 입력 시 엑셀 다운로드 이렇게 다운로드 된 엑셀파일 안에는 악성 메크로가 포함되어 있습니다. [그림4] 악성 매크로가 포함된 엑셀파일 만약 ..

악성코드 분석 리포트 2019. 12. 20. 10:14

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 일본 내에서 ‘이모텟(Emotet)’ 악성코드가 기승을 부리고 있습니다. 특징으로는 이모텟에서 ‘트릭봇(TrickBot)’ 악성코드까지 연계되어 공격이 이어지고 있습니다. 현재 일본뿐만 아니라 국내에서도 공격이 활발하게 이루어지고 있어 사용자들의 주의가 필요합니다. [그림] 'Eternal Romance' 취약점 코드 일부 이 악성코드는 이메일로 국내외 많은 기업에 유포되고 있습니다. 감염 시, 공격자가 업로드하는 추가 악성코드를 다운로드하며 사용자로부터 감염 사실을 숨기기 위해 시스템 프로세스로 위장합니다. 추가로 수행되는 악성 행위로는 뱅킹 정보 탈취, 브라우저를 통한 로그인 정보 탈취, 네트워크 정보 등이 있으며 SMB취약점인 ..

악성코드 분석 리포트 2019. 12. 19. 13:00