안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2019년 12월 12일, 알약(ALYac)에 탑재되어 있는 ETI 위협정보 수집기능을 통해 '코니(Konni)' 조직으로 분류된 신규 APT 위협정보가 식별됐습니다. 초기 공격 링크에 'error-hanmail[.]net' 도메인이 사용되었으며, 다시 'mallesr[.]com' C2 주소로 이어집니다. 탐지된 침해지표(IoC)를 분석한 결과, 광주 성형외과 운영관계자 간 법적소송 문건을 담고 있는 악성 한글(HWP)문서가 공격벡터에 활용되었습니다. ESRC는 그동안 코니 조직이 사용했던 위협패턴과 전술 정황을 고려해 '스피어 피싱(Spear Phishing)'을 통해 악성 문서가 전달되었을 것이라 추정하고 있습니다. 이번 공격에 사용된..

악성코드 분석 리포트 2019. 12. 12. 15:10

안녕하세요.이스트시큐리티 시큐리티대응센터(ESRC)입니다. 계정정보를 탈취하는 피싱 메일이 유포중에 있어 사용자들의 주의가 필요합니다. [그림1] 피싱 메일 피싱 메일은 계약 제안 메일을 위장하고 있으며, 해당 메일에는 동일한 htm 파일 2개가 첨부되어 있습니다. [그림2] 네이버 로그인 화면을 위장한 피싱 사이트 첨부되어있는 htm 파일을 클릭하면 네이버 화면을 위장한 피싱 페이지가 뜨게 됩니다. 만약 해당 페이지를 진짜 네이버페이지로 오인하여 자신의 계정정보를 입력하여 로그인 버튼을 누르면, 입력한 정보들은 공격자 서버로 전송되게 됩니다. [그림3] 해커의 서버로 전송되는 정보들 사용자 계정정보를 수집 후, 사용자를 실제 네이버 로그인 사이트로 리다이렉트 시켜 사용자들의 의심을 피하려 시도합니다. ..

악성코드 분석 리포트 2019. 12. 12. 11:30

안녕하세요.이스트시큐리티 시큐리티대응센터(ESRC)입니다. 아디다스 공식 온라인 스토어인 아디클럽을 사칭한 메일이 유포중에 있어 사용자들의 주의가 필요합니다. 아디클럽을 사칭한 이메일은 12월 4일부터 유포되기 시작하였으며, 12월 9일(월)까지도 지속적으로 유포가 되고 있는 상황입니다. [그림1] 아디클럽 사칭 피싱 메일 이러한 상황을 인지한 아디클럽측은 6일날부터 팝업 형태로 공식 홈페이지에 경고공지를 띄웠으며, 현재는 팝업 형태까지는 아니지만 공지사항으로 여전히 사용자들에게 주의를 기울여 달라고 경고하고 있습니다. [그림2] 아디다스측에서 올린 공지 아디클럽 피싱 메일에는 매크로가 포함된 doc 파일이 첨부되어 있으며, 만약 사용자가 첨부되어 있는 doc 파일을 실행하면 이모텟 악성코드가 실행됩니다..

악성코드 분석 리포트 2019. 12. 10. 15:46

안녕하세요.이스트시큐리티 시큐리티대응센터(ESRC)입니다. 지난주(4일), 저희는 '비너스락커 조직, 구직의뢰 내용으로 Nemty 랜섬웨어 2.2 확산 중' 이라는 글을 통해 주의를 당부한 적이 있었습니다. 하지만 그 후 현재까지도 Nemty 랜섬웨어는 꾸준히 유포중에 있으며, 그 피싱 메일은 여전히 구직 의뢰내용을 위장하고 있습니다. [그림1] 구인내용을 위장하고 있는 피싱 메일 비너스락커 조직이 최근 유포하는 피싱 메일의 특징은 이메일 제목에 이름을 넣는다는 점으로, 실제로 구직 이메일의 경우 구직자의 이름을 제목에 넣는 경우가 많기 때문에 기업 사용자들의 각별한 주의가 필요합니다. [그림2] 피싱 메일에 포함되어 있는 첨부파일 피싱 메일의 첨부파일에는 한글파일(.hwp)을 위장한 실행파일(.exe)..

악성코드 분석 리포트 2019. 12. 10. 15:00

안녕하세요이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 최근 피싱 메일을 통해 이모텟(Emotet) 악성코드가 대량으로 유포되고 있습니다. 이모텟(Emotet) 악성코드는 금융정보를 탈취하기 위한 악성코드로 2014년 처음 발견되었습니다. Emotet 악성코드는 주로 이메일을 통해 유포되며 자가복제, 사용자 정보탈취, 다운로더 등 다양한 악성 행위를 수행합니다. 이번에 유포된 이모텟(Emotet)은 업무 지원요청, 청구서, 견적서 등 다양한 형태의 피싱메일로 유포되었으며, 이는 기존에 유포되었던 방식과 매우 유사합니다. 이모텟(Emotet) 악성코드는 올해 초 이메일을 통해 유포되었다가 잠시 휴식기를 가졌으며, 최근 9월달부터 12월 현재까지 꾸준히 유포되고 있습니다. 특히 11월달부터는 유입이 큰 ..

악성코드 분석 리포트 2019. 12. 5. 11:00

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 스미싱 메일을 통해 Nemty 랜섬웨어 2.2 버전이 유포되고 있어 사용자들의 주의가 필요합니다. [그림1] 피싱 메일 Nemty 2.2 랜섬웨어를 유포하는 조직은 유창하게 한글을 구사하고 있으며, 네이버, 한메일 주소를 통하여 이메일을 유포합니다. 특이한 점은 이메일 문장에 마침표를 생략한다는 것입니다. 이러한 특징을 보아 배후에는 비너스락커 조직이 있는 것으로 추정하고 있습니다. [그림2] 악성 메일에 첨부된 파일 이메일에는 압축파일이 첨부되어 있으며, 이 압축파일 안에는 한글 파일을 위장한 .exe 파일이 포함되어 있습니다. [그림3] 알집에서 띄워주는 이중 확장자에 대한 경고창 알집을 사용하는 사용자라면 알집에서 다중 확장자에 대해 주의를..

악성코드 분석 리포트 2019. 12. 4. 14:47

■ 청와대 행사 견적서로 둔갑한 APT 공격 '블루 에스티메이트' 등장 안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2019년 12월 03일, 마치 HWP 한글 문서파일처럼 위장한 악성 EXE 실행파일이 발견되었는데, 한국시간으로 12월 02일 오후 6시경 만들어졌습니다. 파일명 제작날짜 (타임스탬프) MD5 베트남 녹지원 상춘재 행사 견적서.hwp (다수의 공백 포함) .exe 2019-12-02 18:01:05 (KST) 35d60d2723c649c97b414b3cb701df1c 파일명에는 베트남 녹지원 상춘재 행사 견적서라고 되어 있고, 첫번째 확장자는 hwp 문서형식이지만, 다수의 공백을 포함한 2중 확장자로 실제로는 exe 실행파일 형식을 가지고 있습니다. 지난 11월 27..

악성코드 분석 리포트 2019. 12. 4. 00:38

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 부동산 임대료 관련한 이메일을 위장한 악성 메일이 유포되고 있어 사용자들의 주의가 필요합니다. [그림1] 부동산 관련 메일을 사칭한 악성메일 이번에 유포된 악성 이메일은 어눌한 한국어로 작성되어 있으며, 내용은 임대료 납부가 지연되었으며 3일 이내에 임대료를 납부하지 않는다면 여러 방면의 책임을 져야한다고 적혀 있습니다. [그림2] 악성메일 첨부파일 이메일 첨부파일에는 .exe 파일이 첨부되어 있으며, 만약 수신자가 첨부파일 내에 있는 .exe 파일을 실행하면 소디노키비 랜섬웨어에 감염되게 됩니다. [그림3] 소디노키비 랜섬웨어 감염화면 해당 랜섬웨어를 분석해본 결과, 기존 리플라이 오퍼레이터(Reply Operator) 그룹이 유포한 이메일과 ..

악성코드 분석 리포트 2019. 12. 3. 13:24