안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 금일 AnteFrigus 이름을 가진 새로운 랜섬웨어가 발견되었습니다. [그림1] AnteFrigus 랜섬노트 랜섬노트 파일명과 랜섬노트 내용 등 AnteFrigus 랜섬웨어의 랜섬노트는 Sodinokibi 랜섬노트와 매우 유사한 특징을 갖고 있습니다. [그림2] AnteFrigus 랜섬웨어 랜섬노트 및 Sodinokibi 랜섬노트 비교 현재까지 AnteFrigus 랜섬웨어의 유포방법은 아직 정확히 밝혀지지 않았습니다. 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.AnteFrigus 로 탐지중에 있으며, sodinokibi 랜섬웨어와 antefrigus 랜섬웨어의 연관관계에 대해 지속적으로 추적할 예정입니다. 해당 랜섬웨어에 대해 ..

악성코드 분석 리포트 2019. 11. 7. 11:07

안녕하세요.이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019/11/06) 입사지원을 위장한 악성 메일이 대량으로 유포중에 있어 사용자들의 주의가 필요합니다. [그림1] 입사지원을 사칭한 악성 메일 해당 메일들에는 Nemty 랜섬웨어 파일이 압축파일 형태로 첨부되어 있습니다. [그림2] 악성메일에 첨부되어 있던 악성파일들 압축파일 안에는 jpg 파일과 함께 한글 파일로 위장한 실행파일이 포함되어 있으며, 만약 사용자가 한글 파일을 위장한 실행파일을 실행 시 NEMTY REVENGE 2.0 랜섬웨어에 감염되게 됩니다. 이번 입사지원서 대량 유포 역시 비너스락커(VenusLocker) 조직의 수행으로 추정되고 있습니다. 이러한 공격의 피해를 최소화 하기 위해서는 이메일에 포함되어 있는 첨부파일을 ..

악성코드 분석 리포트 2019. 11. 6. 13:44

안녕하세요.이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019/10/29) 오전부터 경력직 입사지원서로 위장한 Nemty Revenge 2.0 랜섬웨어가 대량으로 유포중인 정황이 확인되었습니다. 유포중인 입사지원서 위장메일은 대부분 지원자 이름을 메일 제목으로 하고 있습니다. [그림 1] 입사지원자 이름으로 위장한 악성메일 1 [그림 2] 입사지원자 이름으로 위장한 악성메일 2 이 외에도 다양한 이름의 입사지원자 이름을 제목으로 사용한 메일이 유포되고 있습니다. 경력직 입사지원서로 위장한 악성메일 캠페인은 비너스락커(Venus)조직의 수행으로 추정되며, 최근에도 입사지원서를 위장하여 Nemty 랜섬웨어를 유포한 케이스가 존재합니다. 또한 바로 몇주전에는 '공정거래위원회'를 사칭하여 악성메일을 ..

악성코드 분석 리포트 2019. 10. 29. 15:09

안녕하세요 이스트시큐리티 대응센터(ESRC)입니다. 계산서 사칭 메일이 유포되고 있어 사용자들의 주의가 필요합니다. [그림 1] 계산서를 위장한 악성메일 계산서를 사칭한 이메일에는 단순한 지불해달라는 내용과 함께 워드 파일이 첨부되어 있습니다. 사용자가 첨부되어 있는 워드 파일을 클릭하면 이미지 객체가 삽입되어 있는데, 매우 작은 이미지로 삽입되어 있으며, 'Double Click to View Documents'라는 문구로 사용자들의 클릭을 유도합니다. [그림 2] 이미지 객체가 삽입되어 있는 워드 파일 해당 이미지를 클릭하면 소프트웨어를 실행하시겠습니까라는 경고 문구가 뜹니다. (만약 사용자가 윈도우 기본 보안 설정 중 파일 실행 시 보안 경고를 해제했다면 경고창 없이 바로 악성 파일이 실행되게 됩니..

악성코드 분석 리포트 2019. 10. 29. 08:48

안녕하세요 이스트시큐리티 대응센터(ESRC)입니다. 금일 ESRC는 라자루스(Lazarus) 그룹의 사이버 공격정황을 포착하였습니다. 이번 공격은 악성파일이 포함된 이메일을 특정 대상에게 발송하는 방식을 사용하고 있으며, 미국 라스베가스에서 개최 예정인 세계 최대 소비자 가전 박람회 CES2020 참관단 참가 신청서를 사칭하고 있습니다. [그림 1] CES2020 참관단 참가 신청서를 사칭하고 있는 악성 파일 실제로 최근에 CES2020 참관단을 모집했으며, 이 모집공고는 10월 18일 마감된 것으로 확인되었습니다. [그림2] 실제 CES2020 참관단 모집 페이지 만약 이메일을 수신한 대상자가 국제전자제품박람회(CES2020) 참관단 참가 신청서를 위장하고 있는 악성 첨부파일을 클릭하면 한글파일에 포함..

악성코드 분석 리포트 2019. 10. 24. 17:16

안녕하세요이스트시큐리티 대응센터(ESRC) 입니다. 금일 오전, 국내 기업에 특정 회계법인을 위장한 악성 메일이 유포되어 기업 사용자 여러분들의 주의가 필요합니다. 이번 공격 역시 최근 공격을 재개한 TA505 조직의 소행으로 추정되고 있습니다. 해당 악성메일에는 첨부파일 대신 드롭박스 링크가 포함되어 있습니다. [그림 1] 드롭박스 링크가 포함된 악성 메일 사용자가 해당 드롭박스 링크를 클릭한다면, 악성 매크로가 포함된 .xls 파일이 내려받아지며 엑셀 파일에서 매크로를 실행할 경우, 아래의 경로에 DLL 파일을 드롭 및 로드하는 기능이 수행됩니다. ‘C:\Users\[사용자 계정]\AppData\Roaming\Microsoft\Windows\Templates\libDxdiag1.dll’ [그림 2] ..

악성코드 분석 리포트 2019. 10. 22. 13:27

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 한국에 몸캠 피싱앱이 등장하기 시작한 2013년부터 최근까지 몸캠 피싱앱은 은밀하고 꾸준하게 유포되고 있습니다. 몸캠 피싱은 스마트폰 채팅 어플(랜덤채팅)을 통해 피해자를 찾으며 음란 화상 채팅을 유도하여 피해자의 음란 행위를 녹화합니다. 그리고 피해자의 스마트폰에 악성앱 설치를 유도하여 지인의 연락처를 탈취한 후 음란행위 영상을 지인에게 유포하겠다는 협박을 통해 금전을 갈취 합니다. 이런 공격 과정은 체계적인 프로세스를 따르는 것으로 파악 되며 공격을 원할 하게 수행할 수 있도록 조직을 체계적으로 구성하여 역할에 따라 공격을 수행하고 있습니다. 공격자들이 조직까지 구성하며 꾸준하게 몸캠 피싱을 시도하는 이유는 결국 돈이 되기 때문일 것입..

악성코드 분석 리포트 2019. 10. 22. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 갠드크랩 4.1 버전에서 사용된 이미지를 동일하게 사용한 랜섬웨어가 발견되었습니다. 이 이미지는 다음과 같이 러시아 대통령과 러시아 문구가 삽입되어 있습니다. Nemty 랜섬웨어는 주로 입사 지원서를 위장한 메일로 유포되며, 파일명에 긴 공백을 넣어 PDF 파일인 것처럼 위장해 사용자를 속이는 것이 특징입니다. [그림] 암호화 완료 화면 현재 알약에서는 해당 악성 코드를 ‘Trojan.Ransom.Nemty’ 탐지 명으로 진단하고 있으며, 관련 상세 분석보고서는 Threat Inside 웹서비스 구독을 통해 확인이 가능합니다.

악성코드 분석 리포트 2019. 10. 21. 15:40