안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 11월 20일부터 금일(26일)까지 불특정다수의 기업을 상대로 구매주문, 명세서, 견적서 등 다양한 제목으로 위장한 피싱 메일이 대량으로 유포중에 있어 사용자들의 주의가 필요합니다. 이 피싱메일들은 별다른 내용을 포함하고 있지 않으며, htm 파일이 첨부되어 있는 이메일을 사용자에게 발송합니다. [그림1] 유포 중인 피싱 메일 사용자가 첨부되어 있는 htm 파일을 클릭하면, 네이버 로그인 화면을 위장한 페이지가 뜨게 됩니다. [그림2] 네이버 로그인 화면을 위장하고 있는 htm 파일 만약 해당 로그인창을 진짜 네이버 로그인창으로 오인하여 계정정보를 입력할 경우, 입력한 계정정보는 모두 공격자의 서버로 전송되며, 전송 후에는 자동으로 네이버 메일 ..

악성코드 분석 리포트 2019. 11. 27. 14:10

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 계정정보 유출을 목적으로 하는 피싱 메일이 유포되고 있으며, 이 피싱메일은 개인계정이 아닌 홈페이지 등에 공개되어 있는 기업들의 그룹 계정들을 타겟으로 하고 있어 기업사용자들의 주의가 필요합니다. [그림1] 계정탈취 피싱메일 해당 메일은 비밀번호가 만료된다는 내용과 함께 링크가 포함되어 사용자에게 발송됩니다. 이 메일을 수신한 사용자가 만약 이메일에 포함되어 있는 "동일한 비밀번호를 유지하십시오" 링크를 클릭한다면, 비밀번호를 입력하는 창이 뜨게됩니다. [그림2] 메일에 포함되어 있는 링크를 클릭했을 때 보이는 페이지 사용자가 이 창을 끄게 되면 아무런 피해를 입지 않지만, 만약 사용자가 비밀번호 입력란에 비밀번호를 입력하게 되면 계정정보가 유출..

악성코드 분석 리포트 2019. 11. 26. 16:26

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 스미싱을 통한 악성 앱의 종류가 점점 더 다양해지고 있습니다. 해당 악성 앱은 택배 앱으로 속이고 있으며 기기 정보와 문자 정보를 탈취한 후 아이콘을 숨겨 사용자가 알아차리기 어렵게 하고 원격 명령을 통해서 감염 기기로 문자 전송도 가능합니다. 또한, 몇몇 앱들을 감시하는데 그 중 국내 은행 앱이 있으면 추가 다운로드한 악성 앱으로 바꿔치기하고 모바일 백신이 존재하면 해당 앱의 삭제를 유도합니다. [그림] 백신 삭제 유도 코드 중 일부 해당 악성 앱은 택배 앱으로 속입니다. 기기와 관련된 다양한 정보를 탈취하고 특정 앱을 바꿔치기하고 삭제를 유도합니다. 또한, 원격 명령을 통해서 문자 메시지 전송이 가능하며 앱의 분석을 어렵게 하도록 ji..

악성코드 분석 리포트 2019. 11. 21. 09:00

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 금일 수상한 이메일들이 대량으로 수신되어 사용자들의 주의가 필요합니다. [그림1] 수상한 메일 해당 메일들의 본문은 모두 영문으로 연락을 하라는 내용과 함께 워드파일(.doc)이 첨부되어 있습니다. 첨부된 악성문서파일을 실행하게 되면, 아래와 같은 안내를 사용자에게 보여주어 공격자가 심어 놓은 매크로를 실행시키도록 유도합니다. [그림2] 매크로 실행을 유도하는 DOC 파일 매크로는 쓰레기 코드와 함께 파워쉘을 실행하는 코드를 포함하고 있습니다. [그림3] 악성 매크로가 포함된 워드 파일 파워쉘 실행 코드는 아래의 C&C서버 리스트 목록에 따라 순차적으로 접속하여 C&C서버에서 내려주는 파일을 감염된 로컬PC에 565.exe로 저장하고 실행합니다..

악성코드 분석 리포트 2019. 11. 19. 11:04

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 공문을 사칭한 악성 메일이 지속적으로 유포중에 있어 사용자들의 주의가 필요합니다. [그림1] '전자상거래 위반행위 조사통지서'를 위장한 악성 메일 이번에 발견된 악성 메일은 '전자상거래 위반행위 조사통지서'를 위장하고 있으며, 메일 본문에는 실제로 공정거래위원회가 발송한것처럼 위장된 내용이 포함되어 있습니다. [그림2] 악성메일에 포함되어 있는 첨부파일 해당 악성 메일에 첨부되어 있는 압축파일 안에는 한글파일(.hwp)을 위장한 실행파일(.exe) 두개가 포함되어 있습니다. 사용자가 만약 첨부되어 있는 압축파일 내 파일을 실행하면 Nemty 랜섬웨어에 감염되게 됩니다. 알약에서는 현재 해당 랜섬웨어에 대하여 Trojan.Ransom.Nemty로..

악성코드 분석 리포트 2019. 11. 13. 13:22

■ '드래곤 메신저(Dragon Messenger)' APT 작전 배경 안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. ESRC에서는 '금성121(Geumseong121)' APT 공격조직이 진행한 은밀한 모바일 APT 공격정황을 포착했습니다. 또한, 북한 이탈주민 후원 모금 서비스로 위장한 사이트를 개설해 악성앱(APK)을 유포한 사실도 드러났습니다. 해당 웹사이트는 워드프레스 기반으로 제작되었고, 도메인은 2019년 08월 23일 생성되어 10월 22일 업데이트된 것으로 조회됩니다. 지난 09월 11일부터 표시된 스냅샷을 타임라인으로 확인해 보면 타이틀에 북한 이탈주민 모금운동 사이트로 소개한 것을 알 수 있고, 10월에는 안드로이드 앱 설치 링크(구글 플레이)가 추가됩니다. 마치 ..

악성코드 분석 리포트 2019. 11. 11. 13:28

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 금일 AnteFrigus 이름을 가진 새로운 랜섬웨어가 발견되었습니다. [그림1] AnteFrigus 랜섬노트 랜섬노트 파일명과 랜섬노트 내용 등 AnteFrigus 랜섬웨어의 랜섬노트는 Sodinokibi 랜섬노트와 매우 유사한 특징을 갖고 있습니다. [그림2] AnteFrigus 랜섬웨어 랜섬노트 및 Sodinokibi 랜섬노트 비교 현재까지 AnteFrigus 랜섬웨어의 유포방법은 아직 정확히 밝혀지지 않았습니다. 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.AnteFrigus 로 탐지중에 있으며, sodinokibi 랜섬웨어와 antefrigus 랜섬웨어의 연관관계에 대해 지속적으로 추적할 예정입니다. 해당 랜섬웨어에 대해 ..

악성코드 분석 리포트 2019. 11. 7. 11:07

안녕하세요.이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019/11/06) 입사지원을 위장한 악성 메일이 대량으로 유포중에 있어 사용자들의 주의가 필요합니다. [그림1] 입사지원을 사칭한 악성 메일 해당 메일들에는 Nemty 랜섬웨어 파일이 압축파일 형태로 첨부되어 있습니다. [그림2] 악성메일에 첨부되어 있던 악성파일들 압축파일 안에는 jpg 파일과 함께 한글 파일로 위장한 실행파일이 포함되어 있으며, 만약 사용자가 한글 파일을 위장한 실행파일을 실행 시 NEMTY REVENGE 2.0 랜섬웨어에 감염되게 됩니다. 이번 입사지원서 대량 유포 역시 비너스락커(VenusLocker) 조직의 수행으로 추정되고 있습니다. 이러한 공격의 피해를 최소화 하기 위해서는 이메일에 포함되어 있는 첨부파일을 ..

악성코드 분석 리포트 2019. 11. 6. 13:44