안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 11월에 발견된 ‘Trojan.Android.AgentNK’는 코니(Konni) APT 조직이 유포한 공격 앱으로 암호화폐 관련 앱으로 위장하여 유포되었습니다. 악성 앱의 주요 목표는 피해자의 개인 정보 탈취에 있습니다. [그림] 악성 앱 설치 화면 이런 공격은 부지불식간에 당하기 마련이기에 사용자의 예방 노력이 무엇보다 중요합니다. 앱 설치 시 본인의 스마트폰이 위협에 노출될 수 있음을 인지하고 주의를 기울여야 하며 알약M과 같은 신뢰할 수 있는 백신을 사용해야 합니다. 현재 알약M에서는 해당 앱을 ‘Trojan.Android.AgentNK’ 탐지 명으로 진단하고 있으며, 관련 상세 분석보고서는 Threat Inside 웹서비스 구독을 ..

악성코드 분석 리포트 2020. 12. 17. 09:00

안녕하세요. ESRC(이스트시큐리티 시큐리티 대응센터) 입니다. 현재 '저작권 위법 안내'메일을 위장하여 랜섬웨어가 유포되는 정황이 포착되어 일반 사용자들과 기업 담당자들의 주의가 필요합니다. 메일은 '자신의 작품을 동의 없이 사용하였고, 현재 저작권이 위반되는 사항이 있으니 해당 내용 확인하여 상의하자'는 내용과 함께 첨부파일을 포함하고 있습니다. 실제 첨부된 파일은 랜섬웨어 파일로 사용자에게 이메일 내용을 통하여 첨부 파일 실행을 유도합니다. '저작권법 관련하여 위반인 사항'들 정리하여 보내드립니다.exe' 파일 분석 1) 특정 프로세스 종료 현재 시스템에서 아래 프로세스가 실행중일 경우, 이를 종료합니다. 이는 프로세스에서 접근중인 파일을 암호화시키기 위함으로 보입니다. msftesql.exe, s..

악성코드 분석 리포트 2020. 12. 16. 23:22

New Windows malware may soon target Linux, macOS devices 활발히 활동하는 공격 그룹인 AridViper와 관련된 새로운 윈도우용 정보 탈취 소프트웨어가 추후 리눅스와 macOS 환경을 감염시키는데 사용될 가능성이 발견되었습니다. 이 새로운 트로이목마는 Unit42에서 2011년부터 중동의 타깃을 노리는 아랍어를 구사하는 사이버 스파이 그룹인 AridViper(Desert Falcon, APT-C-23으로도 알려짐)의 활동을 조사하던 중 발견하여 PyMICROPSIA라 명명했습니다. Kaspersky Lab의 연구에 따르면, AridViper는 주로 팔레스타인, 이집트, 터키에서 활동하며 2015년 한 해 동안 3,000명 이상의 피해자를 감염시켰습니다. 코드에..

국내외 보안동향 2020. 12. 16. 14:00

Wormable Gitpaste-12 Botnet Returns to Target Linux Servers, IoT Devices 타깃 시스템에 가상화폐 채굴기와 백도어를 설치하고 GitHub과 Pastebin을 통해 확산되는 웜 봇넷이 웹 애플리케이션, IP 카메라, 라우터를 해킹하기 위한 기능을 확장하여 돌아왔습니다. 지난달 초, Juniper Threat Labs의 연구원들은 악성코드를 호스팅하기 위해 GitHub을 사용하는 "Gitpaste-12"라는 가상화폐 채굴 캠페인을 발견했습니다. 이 악성코드는 Pastebin URL에서 다운로드한 명령을 통해 실행되는 알려진 공격 모듈 12개를 포함하고 있었습니다. 이 공격은 지난 10월 15일 시작해 10월 30일 Pastebin URL과 저장소가 중단..

국내외 보안동향 2020. 12. 16. 09:09

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 다크 웹 유출 정보 공개 사이트에 국내 기업 정보가 기재되었고 유출한 자료가 다크 웹에 공개될 수 있다고 협박을 받고 있는 것으로 알려졌습니다. 작년 처음 등장한 신종 랜섬웨어로 사용자의 파일을 암호화하여 금전을 요구하는 악성코드입니다. [그림] ‘LockBit-note.hta’ 실행 화면 ‘Trojan.Ransom.LockBit’ 랜섬웨어는 파라미터에 따라 특정 파일/경로와 로컬 PC와 연결된 네트워크 리소스 전체를 암호화한다는 점이 특징입니다. 추가로 로컬 드라이브와 네트워크 드라이브로 연결된 모든 파일이 암호화 대상에 포함되기 때문에 폐쇄망을 사용하는 기업 또한 랜섬웨어 공격에 주의가 필요합니다. 따라서 랜섬웨어를 예방하기 위해..

악성코드 분석 리포트 2020. 12. 16. 09:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 2020년 하반기에 들어서면서 HWP 문서파일 공격기법에 변화가 감지되고 있습니다. 기존에 많이 쓰이던 포스트스크립트(PostScript) 방식에서 오브젝트 연결 삽입(OLE) 방식으로 변화되고 있습니다. 참고로 OLE란 'Object Linking and Embedding' 약자로서 객체 연결 및 삽입을 뜻하는데, 한컴에서는 대신 라는 표현을 사용합니다. 그리고 복합 파일 이진 형식(CFBF : Compound File Binary Format)이라고도 불립니다. ESRC는 2020년 12월 위협 행위자가 사용한 대표적 사례를 심층적으로 기술해 보고자 합니다. 1. 초기 침투 과정 요약 □ 1단계 : 궁금증을 유발하는 이메일을 전달 대부분의..

악성코드 분석 리포트 2020. 12. 16. 00:34

안녕하세요? 이스트시큐리티입니다. 이스트시큐리티는 Mac OS를 위한 최적의 백신 솔루션 '알약 Mac 1.0'을 정식 출시하였습니다. [그림] 알약 Mac 패키지 이미지 새롭게 출시한 ‘알약 Mac’은 마이크로소프트의 윈도에 이어 가장 많이 사용되는 애플의 PC 제품군인 매킨토시(Macintosh, Mac) OS 환경에서 동작하는 ‘기업용 통합 백신’ 프로그램입니다. 지금까지 Mac OS(이하 맥 OS)는 강한 폐쇄성과 낮은 시장 점유율로 인해 윈도 대비 악성코드 발생 비율이 상대적으로 적어, ‘보안 위협으로부터 안전한 OS’로 인식되어 왔습니다. 하지만 맥 OS의 세계 점유율이 두 자릿수로 진입하면서부터 악성코드 발생이 꾸준히 증가해 왔으며, 최근에는 증가세가 매우 가파르게 나타나 맥 OS 보안 위협..

이스트시큐리티 소식 2020. 12. 15. 15:12

Hacking group’s new malware abuses Google and Facebook services Molerats 사이버 스파이 그룹이 최근 스피어피싱 캠페인에서 Dropbox, Google Drive, Facebook을 사용하고 명령 및 제어 통신을 통해 훔친 데이터를 저장하는 새로운 악성코드를 사용하는 것으로 나타났습니다. 이 해커 그룹은 최소 2012년부터 활동해왔으며, ‘Gaza Cybergang’이라 불리는 더 큰 그룹의 저예산 부서로 추측됩니다. 백도어 2개와 다운로더 하나 Molerats 그룹은 최근 공격에서 백도어 2개(SharpStage, DropBook)와 이전에 문서화되지 않은 악성코드 다운로더인 MoleNet을 사용했습니다. 사이버 스파잉 활동을 위해 설계된 이 악성..

국내외 보안동향 2020. 12. 15. 14:00