안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 랜섬웨어 수가 급증하면서 파일을 암호화 하는 대신 파일의 데이터를 삭제하는 악성코드 유형이 발견되었습니다.‘GermanWiper’라 불리는 이 악성코드는 대부분 랜섬웨어와 동일한 증상을 보입니다. 제외 확장자 및 문자열이 존재하고 복호화를 위한 랜섬노트를 생성하거나 바탕화면도 변경합니다. 하지만 파일 암호화 대신 파일의 데이터를 ‘0’으로 덮어 씌운다는 점에서 기존 랜섬웨어와 차이점이 있다. 데이터가 파괴된 파일은 랜섬웨어와 마찬가지로 임의의 확장자가 추가됩니다. 따라서 본 보고서에서는 파일 암호화를 위장한 ‘Trojan.Ransom.Filecoder’에 대해 상세 분석하고자 합니다. 악성코드 상세 분석 1. 프로세스 인젝션공격자는 ..

악성코드 분석 리포트 2019. 8. 26. 13:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 유럽에서 SMS를 통한 뱅킹 악성 앱 유포 사례가 발생하고 있습니다. 이 악성 앱들은 러시아인들을 대상으로 제작되었으나 수정을 거쳐 유럽에도 유포되기 시작했습니다. 유포 경로는 SMS를 이용 하고 있으며 메시지에 포함된 링크를 통해 피해자들에게 악성 apk 파일이 전달됩니다. 피해자들이 다운받은 apk 파일은 쇼핑 앱 등의 친숙한 아이콘과 파일이름을 가지고 있어 별다른 의심없이 설치를 진행하게 됩니다. 이렇게 설치된 악성 앱들은 피해자의 신용 카드 정보 탈취를 목적으로 하고 있으며 피해자가 피해 사실을 인지하기 어려울 정도로 정교하게 제작되어 있습니다. 이번 분석 보고서에서는 러시아 발 악성 앱인 “Trojan.Android.Bank..

악성코드 분석 리포트 2019. 8. 26. 11:35

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 지난주 금요일(8/23)부터 특정기관을 타깃으로 하는 시중은행 사칭 악성 이메일 공격이 확인되고 있습니다.해당 이메일의 첨부파일을 실행하면 Sodinokibi 랜섬웨어에 감염되므로 주의가 필요합니다. 공격자는 한국의 시중은행을 사칭한 메일로 타깃을 노렸으며, '우리_은행.zip', '지불-세부-사항.zip' 등의 압축파일이 첨부되어 있습니다. 실제 공격에 사용된 이메일 화면을 보면, 국내 특정 은행명과 이미지로 이용자들을 현혹하고 있어, 실제 사례를 기억하여 유사한 위협에 노출되지 않도록 해야합니다. [그림 1] 우리은행을 사칭하여 공격자가 특정 타깃에게 발송한 악성 이메일 작성되어 있는 이메일 본문 내용은 다음과 같습니다. 온라인 은행 알림이것..

악성코드 분석 리포트 2019. 8. 26. 10:24

■ 김수키(Kimsuky)와 연계된 코니(Konni) APT 조직 활발 안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 지난 23일 금요일 오후, 마치 한국내 비트코인 거래소 해킹 공지처럼 사칭한 스피어 피싱(Spear Phishing) 공격이 발견되어, 휴일 기간 스마트기기 안전에 각별한 주의가 요망됩니다. ESRC에서는 여러 공격벡터와 각종 지표를 종합한 결과, 기존 '코니(Konni)' 그룹을 이번 공격 배후로 지목했으며, 이른바 '김수키(Kimsuky)' 조직과 직간접 연계 가능성에 무게를 두고 있습니다. 이와 관련된 내용은 아래 최근 포스팅을 참고해 주시면 좋겠습니다. ▶ 코니(Konni) APT 조직, 러시아 문서로 위장한 공격 등장 (2019. 08. 19)▶ [스페셜 리포..

악성코드 분석 리포트 2019. 8. 24. 17:42

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019/08/23) 페이스북 메시지를 통해 동영상 페이지를 사칭한 링크가 전달되었습니다. [그림 1] 동영상 페이지를 사칭한 링크 이 링크를 클릭하면 페이스북 로그인 화면으로 꾸민 피싱 사이트로 이동되며, 해당 사이트에 사용자의 로그인 정보를 입력할 경우 피싱 사이트 제작자에게 사용자의 계정 및 비밀번호가 전달됩니다. [그림 2] 페이스북 로그인 페이지를 사칭한 피싱 사이트 화면 [그림 3] 공격자에게 전달되는 개인 정보 화면 또한 계정정보 입력 후 "Log In" 버튼을 클릭하면 광고 사이트로 이동됩니다. [그림 4] 광고 사이트로 이동된 화면 ※ 피싱 사이트 및 개인정보 수집 사이트 주소- http://w6hywj850a1p.surg..

악성코드 분석 리포트 2019. 8. 23. 14:50

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 유포되는 Sodinokibi 랜섬웨어 에 한가지 큰 변화가 생겼습니다.랜섬웨어에 감염되었을때 바뀌는 바탕화면 이미지와 랜섬노트에 기존 영어 메시지 외에 한국어 메시지와 중국어 메시지가 추가되었다는 부분입니다. 이달 초인 2019년 8월 5일에 유포된 Sodinokibi 랜섬웨어를 보면 감염시 변경되는 바탕화면 이미지와 랜섬노트 메시지에 영어로 작성된 내용만 있다는 것을 확인할 수 있습니다. [그림 1] 2019년 8월 5일에 유포된 Sodinokibi 랜섬웨어에 감염된 바탕화면 이미지 [그림 2] 2019년 8월 5일에 유포된 Sodinokibi 랜섬웨어의 랜섬노트 그러나, 8월 21일에 유포된 Sodinokibi 랜섬웨어를 살펴보면 랜섬노..

악성코드 분석 리포트 2019. 8. 21. 17:19

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 오늘 오전 특정 전자제품 유통회사의 관리자를 사칭한 피싱 메일이 발견되었습니다. 이번에 포착된 피싱 메일은 타깃인 특정 전자제품 유통회사의 직원에게 '귀하의 계정에서 이메일 전송이 중단'되었다면서 첨부파일을 실행하여 수동으로 계정을 확인하라고 하며 계정정보 입력을 유도하는 내용을 담고 있습니다. [그림 1] 이메일 전송이 중단되었다며 첨부파일 열람 유도하는 피싱 메일 특히, 공격자는 메일이 발송된 후 이틀 후까지 계정 확인 작업을 하지 않으면 계정이 영구적으로 종료된다고 빠른 계정정보 입력을 독촉하기까지 하고 있습니다. 이메일과 함께 첨부된 html파일을 열면 다음과 같은 계정정보 입력창이 뜨게 됩니다. [그림 2] 메일에 첨부된 html파일 ..

악성코드 분석 리포트 2019. 8. 21. 15:26

안녕하세요. 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 금일(2019.08.20) 비너스락커(VenusLocker) 조직이 입사지원서를 사칭한 악성 메일을 유포하고 있는 정황이 확인되어 이용자들의 각별한 주의를 당부드립니다. [그림 1] 입사지원서를 사칭한 이력서 악성메일 이번에 발견된 악성 메일은 지난 8/12에 확인된 악성메일과 동일한 내용을 담고 있으며, 문장 내에 마침표가 없고 7z로 압축된 악성파일을 첨부하고 있다는 점까지 동일합니다. ▶ 비너스락커 조직(VenusLocker) 기존보다 진화된 형태로 Sodinokibi 랜섬웨어 유포중! (2019. 08. 12) 해당 메일을 받은 수신자가 입사지원을 위한 이력서로 착각하여 압축파일을 해제하면 2개의 실행파일을 다운로드할 수 있으며, ..

악성코드 분석 리포트 2019. 8. 20. 18:12