안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 하반기부터 스미싱이 급증하는 추세입니다. 그리고 급증하는 만큼 스미싱 악성 앱들의 종류도 다양해지고 있습니다. 그중에는 글로벌 하게 활동 중인 "xLoader"의 변종도 포함되어 있었습니다. 해당 악성 앱은 최근 업데이트되어 유포된 것으로 보이며 26개국의 언어를 지원하도록 제작되어있습니다. 그리고 배포 방법이 스미싱을 활용하는 것으로 변경되었습니다. ESRC에서 수집되는 택배 스미싱을 통해서도 악성 앱이 유입되고 있음을 확인하였습니다. [그림] 하드 코딩 된 26개국어 스트링 향후 스미싱이나 소셜네트워크를 유포방법으로 활용하는 악성 앱들이 더욱 증가할 것으로 예측됩니다. 이는 공격자 입장에서 공식 스토어나 웹사이트를 통한 유포 방법보다 ..

악성코드 분석 리포트 2019. 12. 20. 13:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 현재 하나은행 보안메일을 위장한 악성메일이 유포되고 있어 사용자들의 각별한 주의가 필요합니다. [그림1] KEB하나은행 보안메일을 위장한 악성 메일 해당 메일은 KEB 하나은행의 보안메일을 위장하고 있으며, html 파일이 첨부되어 있습니다. [그림2] 하나은행 보안메일 위장 html 사용자가 해당 html 파일을 클릭하면, 정상적인 이메일 보안메일과 동일하게 생년월일 6자리를 입력하라는 페이지가 뜨며, 패스워드 입력 시 xls 문서가 내려옵니다. [그림3] 하나은행 보안메일 위장 html에 패스워드 입력 시 엑셀 다운로드 이렇게 다운로드 된 엑셀파일 안에는 악성 메크로가 포함되어 있습니다. [그림4] 악성 매크로가 포함된 엑셀파일 만약 ..

악성코드 분석 리포트 2019. 12. 20. 10:14

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 일본 내에서 ‘이모텟(Emotet)’ 악성코드가 기승을 부리고 있습니다. 특징으로는 이모텟에서 ‘트릭봇(TrickBot)’ 악성코드까지 연계되어 공격이 이어지고 있습니다. 현재 일본뿐만 아니라 국내에서도 공격이 활발하게 이루어지고 있어 사용자들의 주의가 필요합니다. [그림] 'Eternal Romance' 취약점 코드 일부 이 악성코드는 이메일로 국내외 많은 기업에 유포되고 있습니다. 감염 시, 공격자가 업로드하는 추가 악성코드를 다운로드하며 사용자로부터 감염 사실을 숨기기 위해 시스템 프로세스로 위장합니다. 추가로 수행되는 악성 행위로는 뱅킹 정보 탈취, 브라우저를 통한 로그인 정보 탈취, 네트워크 정보 등이 있으며 SMB취약점인 ..

악성코드 분석 리포트 2019. 12. 19. 13:00

안녕하세요이스트시큐리티 대응센터(ESRC) 입니다. TA505 조직이 악성메일을 유포하는 정황이 포착되어 사용자들의 주의가 필요합니다. TA505 조직은 러시아 정부 지원을 받는 해킹 조직으로 추정되고 있으며, 국내에서도 올해 4월부터 꾸준히 피싱 메일을 통해 악성코드를 유포중에 있습니다. [그림1] 피싱 메일 이번에 발견된 이메일은 연례 보고서라는 제목으로 유포되었으며, 이메일에는 첨부파일 대신 국내 유명 메일서비스의 대용량파일 형태로 첨부되어 있습니다. 메일 본문에 포함된 대용량파일을 클릭하면 .xls 파일이 내려오며, 해당 엑셀파일 안에는 악성 매크로가 포함되어 있습니다. [그림2] 악성 메크로가 포함된 첨부 파일 엑셀 파일 내에는 "MICROSOFT OFFICE EXCEL의 데스크톱 또는 랩톱 버..

악성코드 분석 리포트 2019. 12. 19. 09:12

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 사용자 PC를 감염시키고 원격제어를 수행하는 악성코드가 발견되었습니다. 이 악성코드는 PDF 문서파일 아이콘과 ‘.SCR’확장자를 사용하여 화면 보호기 파일로 위장했습니다. 이는 사용자로 하여금 악성 파일을 정상 파일로 착각해 실행을 유도하기 위함입니다. [그림] 키로깅 코드 일부 감염된 PC는 공격자의 명령에 따라 제어되므로 원치 않는 악성 행위를 시도합니다. 명령의 일부로 감염 PC의 폴더 및 프로세스, 브라우저 정보 등을 탈취하고 키로깅을 수행합니다. 이는 특히 사용자의 민감한 정보가 유출될 우려가 있고, 2차 피해로 이어질 수 있기 때문에 각별한 주의가 필요합니다. 현재 알약에서는 해당 악성 코드를 ‘Backdoor.RAT.N..

악성코드 분석 리포트 2019. 12. 17. 15:47

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2019년 12월 12일, 알약(ALYac)에 탑재되어 있는 ETI 위협정보 수집기능을 통해 '코니(Konni)' 조직으로 분류된 신규 APT 위협정보가 식별됐습니다. 초기 공격 링크에 'error-hanmail[.]net' 도메인이 사용되었으며, 다시 'mallesr[.]com' C2 주소로 이어집니다. 탐지된 침해지표(IoC)를 분석한 결과, 광주 성형외과 운영관계자 간 법적소송 문건을 담고 있는 악성 한글(HWP)문서가 공격벡터에 활용되었습니다. ESRC는 그동안 코니 조직이 사용했던 위협패턴과 전술 정황을 고려해 '스피어 피싱(Spear Phishing)'을 통해 악성 문서가 전달되었을 것이라 추정하고 있습니다. 이번 공격에 사용된..

악성코드 분석 리포트 2019. 12. 12. 15:10

안녕하세요.이스트시큐리티 시큐리티대응센터(ESRC)입니다. 계정정보를 탈취하는 피싱 메일이 유포중에 있어 사용자들의 주의가 필요합니다. [그림1] 피싱 메일 피싱 메일은 계약 제안 메일을 위장하고 있으며, 해당 메일에는 동일한 htm 파일 2개가 첨부되어 있습니다. [그림2] 네이버 로그인 화면을 위장한 피싱 사이트 첨부되어있는 htm 파일을 클릭하면 네이버 화면을 위장한 피싱 페이지가 뜨게 됩니다. 만약 해당 페이지를 진짜 네이버페이지로 오인하여 자신의 계정정보를 입력하여 로그인 버튼을 누르면, 입력한 정보들은 공격자 서버로 전송되게 됩니다. [그림3] 해커의 서버로 전송되는 정보들 사용자 계정정보를 수집 후, 사용자를 실제 네이버 로그인 사이트로 리다이렉트 시켜 사용자들의 의심을 피하려 시도합니다. ..

악성코드 분석 리포트 2019. 12. 12. 11:30

안녕하세요.이스트시큐리티 시큐리티대응센터(ESRC)입니다. 아디다스 공식 온라인 스토어인 아디클럽을 사칭한 메일이 유포중에 있어 사용자들의 주의가 필요합니다. 아디클럽을 사칭한 이메일은 12월 4일부터 유포되기 시작하였으며, 12월 9일(월)까지도 지속적으로 유포가 되고 있는 상황입니다. [그림1] 아디클럽 사칭 피싱 메일 이러한 상황을 인지한 아디클럽측은 6일날부터 팝업 형태로 공식 홈페이지에 경고공지를 띄웠으며, 현재는 팝업 형태까지는 아니지만 공지사항으로 여전히 사용자들에게 주의를 기울여 달라고 경고하고 있습니다. [그림2] 아디다스측에서 올린 공지 아디클럽 피싱 메일에는 매크로가 포함된 doc 파일이 첨부되어 있으며, 만약 사용자가 첨부되어 있는 doc 파일을 실행하면 이모텟 악성코드가 실행됩니다..

악성코드 분석 리포트 2019. 12. 10. 15:46