안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019.08.05) 중소기업을 타깃으로 입사지원서를 사칭한 악성 메일이 유포된 정황이 포착되어 이용자들의 주의를 당부드립니다. ESRC 분석 결과, 비너스락커(VenusLocker) 조직이 다시 RaaS 기반의 소디노키비 랜섬웨어를 활용해 악성 메일을 유포하고 있는 것으로 밝혀졌습니다. 이번에 발견된 입사지원서 메일은 리플라이 오퍼레이터에 비해 유창한 한글 표기법을 사용하였으며, 실제 입사지원서 메일 제목 양식처럼 "회사명_직무(이름)"으로 작성되었습니다. [그림 1] '입사지원서'로 위장한 악성 메일 이메일 본문을 살펴보면 마침표를 안 쓰는 특성을 확인하실 수 있습니다. 메일에 첨부된 파일인 '이지운.7z'에는 hwp 파일로 위장한 악..

악성코드 분석 리포트 2019. 8. 5. 17:07

Over 1 Million payment cards from South Korea sold on the Dark Web 전문가들이 지난 두 달 동안 다크 웹에서 판매되는 한국 사용자의 지불 카드 정보 건수가 급격히 증가한 것을 발견했습니다. 총 백만 건 이상의 지불 카드 정보가 다크 웹에서 판매되고 있었으며, 지난 5월 42,000건, 6월 230,000건, 7월 890,000건이 추가되었습니다. 카드 관련 언더그라운드 사이버 범죄 활동을 모니터링하는 Gemini Advisory에 따르면, 2019년 한국의 신용 카드 데이터에 대한 수요가 증가한 것으로 나타났습니다. 이는 한국 카드 정보의 평균 가격이 상승했음을 의미합니다. 2018년 한국 카드 정보의 평균 가격은 24 달러였으나 2019년에는 40달러..

국내외 보안동향 2019. 8. 5. 13:57

■ '금성121' 스테가노그래피 결합 멀티플랫폼 공격 안녕하세요?이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 탈북민 지원 분야 대상자를 겨냥한 것으로 추정되는 복합적 APT공격이 국내에서 포착되었습니다. 이번 공격의 특징은 윈도우즈(Windows) 운영체제 및 안드로이드(Android) 스마트폰을 동시에 퓨전으로 노렸다는 점이며, ESRC는 위협배후에 '금성121(Geumseong121)' 해킹그룹이 조직적으로 가담 중임을 확신하고 있습니다. 특히, 공격자는 JPG 이미지 파일로 위장해 악성코드를 은밀하게 삽입하는 이른바 '스테가노그래피(Steganography)' 기법을 활용했습니다. ■ 갈수록 교묘해지는 스피어 피싱(Spear Phishing) 공격 기법 공격자는 악성코드를 타깃에게 전..

악성코드 분석 리포트 2019. 8. 5. 11:47

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2019년 08월 05일, 납세서 송장으로 위장한 악성 이메일이 국내 기업에 복수적으로 전파된 정황이 포착되어 사용자들의 각별한 주의가 필요합니다. [그림 1] 납세서 송장으로 위장한 악성 메일 이번에 발견된 악성 메일은 한국 도메인에서 발송되어 유포되고 있습니다. 피싱 메일에는 "첨부 된 납세서 송장보기"라는 내용으로 간단하게 작성되어 있으며, 마지막에는 "감사"라는 멘트로 보아 다소 어눌한 한국어 표현 사용한 것이 특징입니다. 또한, 악성 행위를 하는 실행파일을 포함한 RAR 파일을 첨부했는데, RAR 내부에 ISO 파일로 이중 압축하여 보안 기능을 최대한 회피하려 시도하였습니다. [그림 2] RAR파일 안의 ISO 파일로 이중압축한 악성파..

악성코드 분석 리포트 2019. 8. 5. 10:17

■ 라자루스 위장술 처음 도입된 '오퍼레이션 이미테이션 게임' 안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 특정 국가차원의 명령을 받아 은밀하게 진행되는 APT(지능형지속위협) 캠페인이 다양하게 발견되고 있는 가운데, 매우 흥미로운 스피어 피싱(Spear Phishing) 공격 사례를 포착하였습니다. ESRC는 한국을 주요 공격대상으로 삼고 있는 APT 위협배후 중 '금성121(Geumseong121)' 조직이 마치 '라자루스(Lazarus)' 조직인 것처럼 위장한 교란 전술(False Flag) 흔적을 식별했습니다. 정부후원을 받는 각기 구분된 2개의 유명 해킹조직 '라자루스', '금성121'을 관찰하던 중 '금성121' 조직에서 상대 그룹 전술을 차용해 조작한 사례를 발견했..

악성코드 분석 리포트 2019. 8. 3. 00:18

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 어제 오후 특정 대학교를 타깃으로 한 스피어 피싱 공격이 포착되었습니다. 이번에 발견된 스피어 피싱 메일은 타깃 사용자의 메일 저장 용량을 늘려야 한다면서, "이메일 저장 용량을 늘리려면 여기를 클릭하십시오."라는 문장에 계정 정보를 탈취하기 위한 링크가 삽입되어 있었습니다. [그림 1] 메일 저장 용량 내용의 스피어 피싱 공격 메일 만약 해당 스피어 피싱 메일을 받은 사용자가 본인의 계정의 메일 저장 공간이 부족해 안내된 메일로 착각하고, "이메일 저장 용량을 늘리려면 여기를 클릭하십시오."를 클릭한다면 아래와 같이 로그인 페이지를 위장한 피싱 페이지를 확인하실 수 있습니다. [그림 2] 로그인 페이지를 위장한 피싱 페이지 피싱 페이지에는 이..

악성코드 분석 리포트 2019. 8. 2. 13:28

New Mirai botnet hides C2 server in the Tor network to prevent takedowns 트렌드마이크로의 연구원들이 C&C 서버를 Tor 네트워크에 숨기는 새로운 미라이(Mirai) 봇넷을 발견했습니다. 이번에 발견된 변종은 봇넷 운영자의 익명성을 보호하고 법 집행 기관의 봇넷 붕괴 작업을 어렵게 하기 위한 조치로 보입니다. 연구원은 발견된 샘플이 익명성 보장을 위해 C&C 서버를 Tor 네트워크에 숨기고, 봇넷 붕괴 과정을 더욱 어렵게 하기 위해 커맨드 센터를 숨겼다고 전했습니다. 미라이 악성코드는 2016년 전문가인 MalwareMustDie가 IoT 기기들을 노린 대규모 공격에서 처음으로 발견했습니다. 미라이의 코드가 온라인에 유출되자 수많은 변종들이 생겨났..

국내외 보안동향 2019. 8. 2. 10:50

[8월 첫째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [Web발신][CJ대한통운]고객님 안녕하세요. 배송주소 오류로 배송이 지연되고 있습니다. 정확한 주소 수정해주세요.2 민기원저희 농협 제외 타 은행권 모바일뱅킹,인터넷뱅킹, 텔레뱅킹이 되어있으실경우 설정 들어가셔서 잠금화면 및 보안 -출처를 알수 없는앱 허용하시고 나서 http[:]//61.231.177.XXX본인인증 -다운로드 완료되었습니다 클릭-설치 - 열기 누르시면 신청하시는 란이 나오십니다 3 [Web발신][CJ대한통운] 7/28 고객님 주소 오류, 배달 실패, 주소..

안전한 PC&모바일 세상/스미싱 알림 2019. 8. 2. 09:26