안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 해당 악성 앱은 xloader 유형으로 최근 스미싱을 통해서 유포되고 있습니다. 다운로드 단계부터 앱 설치까지 탐지 회피를 위해서 다양한 방법을 사용합니다. 다운로드 단계에서는 url 리디렉션을 통해서 난독화 된 자바스크립트나 클라우드 서비스를 이용합니다. 앱 설치 이후 단계에서는 숨겨진 악성코드가 들어 있는 파일을 복호화 후 동적 로딩을 이용합니다. [그림] 클라우드를 활용한 악성 앱 배포 해당 악성 앱은 유포 단계에서부터 탐지 회피를 위하여 다양한 방법을 활용하면서 스미싱으로 유포됐습니다. 자바스크립트 난독화와 파일 암호화를 통해서 탐지를 회피하며 기기를 완전히 장악하고 개인 정보와 기기 정보를 탈취합니다. 따라서, 악성 앱으로부터 피..

악성코드 분석 리포트 2020. 11. 18. 09:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 최근 ‘바이든 시대 북한 비핵화 협상과 북한 체제 안전 보장 문제’ 내용 문건으로 사칭한 악성 파일이 발견되어 각별한 주의가 필요합니다. [그림1] 바이든 시대 북한 비핵화 내용 등으로 현혹하는 악성 문서 화면 새롭게 발견된 악성 파일은 마이크로소프트(MS) 워드 문서 형태로 유포되고 있으며, 이메일에 문서 파일을 다운로드할 수 있는 인터넷 주소(URL)를 기재해 수신자가 내려받도록 유도하는 방식입니다. 이 URL은 마치 국내 특정 포털 회사의 인터넷 주소처럼 비슷하게 위조되어, 수신자가 공식 사이트로 생각하고 의심 없이 위조 웹사이트를 통해 악성 문서를 내려 받도록 설계되어 있습니다. 만약 메일 수신자가 위조 웹사이트에서 악성 문서 파일을 ..

악성코드 분석 리포트 2020. 11. 17. 15:57

Trojanized Security Software Hits South Korea Users in Supply-Chain Attack 사이버 보안 연구원들이 한국에서 일어나는 새로운 공급망 공격을 발견했습니다. 공격자는 원격 액세스 툴(RAT)을 타깃 시스템에 배포하기 위해 합법적인 보안 소프트웨어와 훔친 디지털 인증서를 악용합니다. 슬로바키아의 인터넷 보안 회사인 ESET은 이 작전이 히든 코브라(Hidden Cobra)로도 알려진 라자루스(Lazarus) 그룹의 소행일 것이라 추측했습니다. 또한 이들은 한국 사용자가 인터넷 뱅킹과 정부 서비스를 이용하기 위해 필수로 추가 보안 소프트웨어를 설치해야한다는 점을 이용했습니다. 이 공격은 범위가 제한되어 있지만 거래 및 지불 프로세스를 보호하기 위해 은행에..

국내외 보안동향 2020. 11. 17. 14:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 국내 기업에 [사람인] 입사지원서를 위장한 메일이 유포되었습니다. 공격자는 아래의 메일을 통해 이용자에게 'Permission_301859804_09172020.zip' 첨부파일 실행을 유도합니다. 'Permission_301859804_09172020.zip' 에는 'Permission_301859804_09172020.xls' 엑셀파일이 있고, 이를 실행하게 되면 Trojan.Agent.QakBot(이하 Qbot) 뱅킹 트로이목마 악성코드에 감염됩니다. [그림] 수신된 이메일 화면 본 악성코드는 C&C에서 브라우저, 뱅킹 정보 탈취 관련 추가 모듈 등을 다운받는 것으로 알려져 있어, 특히 기업체에서 감염이 되는 경우 큰 피해가 발..

악성코드 분석 리포트 2020. 11. 17. 13:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 11월 08일~11월 14일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 212건이고 그중 악성은 63건으로 29.72%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 0건 대비 63건으로 63건이 증가했습니다. 일일 유입량은 하루 최저 8건(악성 5건)에서 최대 77건(악성 16건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 63건 중 Attach-Malware형이 79.4%로 가장 많았고 뒤이어 Attach-Phishing..

악성코드 분석 리포트 2020. 11. 17. 09:30

Crooks use software skimmer that pretends to be a security firm Sucuri의 연구원들이 탐지를 피하기 위해 그들의 브랜드 이름을 사용하는 소프트웨어 스키머를 분석했습니다. 이 전자 스키머는 공격자가 타깃 웹페이지에 주입하는 base64로 인코딩된 JavaScript BLOB입니다. 연구원들은 정기 조사를 진행하던 중 Sucuri와 관련된 것으로 가장한 웹 스키머를 발견했습니다. 이 악성코드는 Magento 사이트의 데이터베이스에 주입되어 있었습니다. 해당 소프트웨어 스키머를 분석한 결과, 코드의 처음 109 라인은 아무 내용도 포함하고 있지 않았습니다. 110번째 라인은 base64로 인코딩된 Jacascript (eval(atob(… )를 포함하고 있..

국내외 보안동향 2020. 11. 17. 09:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 현재 이력서를 위장한 Makop랜섬웨어가 대량 유포 중인 정황이 발견되어 사용자들의 주의가 필요합니다.공격자는 이력서를 위장하여 악성파일이 첨부된 파일을 전송합니다. [그림 1] 이력서 위장 이메일 화면 [그림 2] 첨부 파일 코드 분석 첨부파일은 pdf 아이콘을 가지고 있으며 사용자에게 문서파일인 것으로 위장하지만 해당 파일은 exe 파일로 실행 파일을 암호화하는 랜섬웨어 행위를 수행합니다. 먼저, Windows 시점 복원을 방지하기 위해 'cmd.exe'를 이용하여 볼륨 섀도를 삭제합니다. [그림 3] 볼륨 섀도 삭제 화면 또한, 현재 사용자가 접근 중이거나 프로세스에서 사용되는 파일을 암호화시키기 위해 현재 로컬에서 실행 중인 프로세스들을 확인하여 종..

악성코드 분석 리포트 2020. 11. 16. 15:52

New Jupyter malware steals browser data, opens backdoor 러시아어를 구사하는 해커가 새로운 악성코드를 사용해 사용자의 정보를 훔쳐온 것으로 나타났습니다. Jupyter라 명명된 이 새로운 공격은 오랫동안 발견되지 않았으며 개발 주기가 매우 빨랐습니다. Jupyter의 목적은 다양한 소프트웨어의 데이터를 수집하는 것입니다. 전달을 지원하는 악성코드를 통해 감염된 시스템에 백도어를 생성하는 것도 가능했습니다. 인스톨러, 6개월 동안 탐지 회피해 이 악성코드 변종은 지난 10월 미국의 한 대학에서 사고 대응 중 발견되었습니다. 하지만 포렌식 데이터에 따르면 이전 버전은 지난 5월부터 배포되어 온 것으로 나타났습니다. 사이버 보안 회사인 Morphisec의 연구원들은 ..

국내외 보안동향 2020. 11. 16. 14:00