안녕하세요이스트시큐리티 대응센터(ESRC) 입니다. 금일 오전, 국내 기업에 특정 회계법인을 위장한 악성 메일이 유포되어 기업 사용자 여러분들의 주의가 필요합니다. 이번 공격 역시 최근 공격을 재개한 TA505 조직의 소행으로 추정되고 있습니다. 해당 악성메일에는 첨부파일 대신 드롭박스 링크가 포함되어 있습니다. [그림 1] 드롭박스 링크가 포함된 악성 메일 사용자가 해당 드롭박스 링크를 클릭한다면, 악성 매크로가 포함된 .xls 파일이 내려받아지며 엑셀 파일에서 매크로를 실행할 경우, 아래의 경로에 DLL 파일을 드롭 및 로드하는 기능이 수행됩니다. ‘C:\Users\[사용자 계정]\AppData\Roaming\Microsoft\Windows\Templates\libDxdiag1.dll’ [그림 2] ..

악성코드 분석 리포트 2019. 10. 22. 13:27

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 한국에 몸캠 피싱앱이 등장하기 시작한 2013년부터 최근까지 몸캠 피싱앱은 은밀하고 꾸준하게 유포되고 있습니다. 몸캠 피싱은 스마트폰 채팅 어플(랜덤채팅)을 통해 피해자를 찾으며 음란 화상 채팅을 유도하여 피해자의 음란 행위를 녹화합니다. 그리고 피해자의 스마트폰에 악성앱 설치를 유도하여 지인의 연락처를 탈취한 후 음란행위 영상을 지인에게 유포하겠다는 협박을 통해 금전을 갈취 합니다. 이런 공격 과정은 체계적인 프로세스를 따르는 것으로 파악 되며 공격을 원할 하게 수행할 수 있도록 조직을 체계적으로 구성하여 역할에 따라 공격을 수행하고 있습니다. 공격자들이 조직까지 구성하며 꾸준하게 몸캠 피싱을 시도하는 이유는 결국 돈이 되기 때문일 것입..

악성코드 분석 리포트 2019. 10. 22. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 갠드크랩 4.1 버전에서 사용된 이미지를 동일하게 사용한 랜섬웨어가 발견되었습니다. 이 이미지는 다음과 같이 러시아 대통령과 러시아 문구가 삽입되어 있습니다. Nemty 랜섬웨어는 주로 입사 지원서를 위장한 메일로 유포되며, 파일명에 긴 공백을 넣어 PDF 파일인 것처럼 위장해 사용자를 속이는 것이 특징입니다. [그림] 암호화 완료 화면 현재 알약에서는 해당 악성 코드를 ‘Trojan.Ransom.Nemty’ 탐지 명으로 진단하고 있으며, 관련 상세 분석보고서는 Threat Inside 웹서비스 구독을 통해 확인이 가능합니다.

악성코드 분석 리포트 2019. 10. 21. 15:40

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 상반기, 클롭 랜섬웨어를 국내 기업에 대량으로 유포한 이후 지금까지 꾸준히 국내 기업들을 상대로 사이버 공격을 진행하고 있는 TA505조직이 공격을 재개하였습니다. 어제(17일)부터 재개된 TA505 조직의 공격은 금일(18일)까지 이어지고 있습니다. ▶ TA505조직, 악성 이메일을 활용해 한국 공격 재개 금일 발생한 공격들의 특징은 오전 10시 이전에 이메일을 발송하였으며, 일부의 경우 10월 급여명세서라는 제목으로 유포하므로써 감염률을 높이려고 시도하였습니다. [그림1] 견적서로 위장한 악성 메일 [그림 2] 급여명세서로 위장한 악성메일 및 악성파일 실행 과정 공격 방식은 어제와 동일하게 악성 매크로가 포함된 xls 파일이 첨부되어 있거나..

악성코드 분석 리포트 2019. 10. 18. 11:09

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 10월 17일) 오전부터 국내 기업들을 대상으로 악성 파일과 링크를 삽입한 스팸 메일이 대량으로 유포되고 있어 사용자들의 각별한 주의가 필요합니다. ESRC에서는 TA505 조직의 소행으로 추측하고 있으며, 스팸 메일에는 별다른 본문 내용 없이 xls 파일을 첨부하거나, Onedrive 링크를 삽입했습니다. [그림 1] 악성 xls 파일을 첨부한 스팸 메일 [그림 2] 악성 Onedrive 링크를 첨부한 스팸 메일 악성 엑셀 파일을 첨부한 메일의 경우, 위의 그림과 같이 특정 이름으로 유포되었으며, Onedrive 링크를 첨부한 메일의 발신 주소는 국내 중소기업 명을 사칭하였습니다. 해당 메일을 받은 사용자가 호기심에 첨부된 엑..

악성코드 분석 리포트 2019. 10. 17. 17:11

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 대북 분야 국책연구기관을 사칭해 특정 기관 관계자 정보를 수집하는 스피어피싱(Spear Phishing) 공격이 발견돼, 관련 업계 종사자의 각별한 주의가 필요합니다. [그림 1] 통일연구원 전문가 자문 요청을 사칭한 악성 문서 파일 이번 공격에 사용된 이메일은 대북 분야 국책연구기관인 ‘통일연구원(KINU, Korea Institute for National Unification)’을 사칭하고 있으며, 해당 연구기관에서 전문가 자문을 요청하는 내용을 담고 있습니다. 발견된 메일에는 'KINU 전문가 자문 요청사항(한미동맹과 한중관계).hwp'라는 악성 한글 문서 파일이 첨부되어 있었습니다. 만약 수신자가 실제 자문 요청 문서로 착각해 이 문서..

악성코드 분석 리포트 2019. 10. 17. 13:16

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019/10/10) "전자상거래 위반행위 조사통지서"로 위장하여 Nemty 랜섬웨어가 유포되고 있는 정황이 포착되었습니다. ESRC 조사 결과, 비너스락커(VenusLocker) 조직의 소행으로 추정되며, 정부 공문 포맷 이미지를 이용해 현재 대량으로 유포되고 있어 사용자들의 각별한 주의가 필요합니다. [그림 1] "전자상거래 위반행위 조사통지서"로 위장한 악성 메일 [그림 2] 메일에 첨부된 공정거래위원회 통지서 상세 내용 이번에 발견된 스팸 캠페인은 한메일 계정을 통해 발송되었고, 이전에 유포된 적 있는 공정거래위원회를 사칭했습니다. 메일의 첨부파일은 7z 형식으로 압축되어 있었으며, 압축파일 내부에는 PDF 문서로 위장한 악성 EX..

악성코드 분석 리포트 2019. 10. 10. 13:16

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 일명 '코니(Konni)' 조직으로 명명된 APT 공격그룹이 최근 HWP 한글문서 취약점을 적극적으로 활용하기 시작했습니다. 정부 후원을 받는 것으로 추정되는 '코니(Konni)' 그룹은 '김수키(Kimsuky)' 조직과의 연관성이 높으며, 최근 암호화폐 거래관련 미끼 파일을 이용하고 있습니다. ESRC에서 두 조직간의 연결고리가 이어지고 있다는 점에 주목하고 있으며, 이번 APT 작전을 '오퍼레이션 코인 플랜(Operation Coin Plan)'으로 명명하고 지속적인 분석을 진행 중입니다. ■ 코니(Konni) 조직, HWP 취약점 활용 새롭게 발견된 악성 문서파일은 2019년 10월 01일 제작되었고, '마켓팅플랜.hwp' 이름으로 ..

악성코드 분석 리포트 2019. 10. 1. 19:15