안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 2019년 5월 7일, ESRC에서는 리플라이 오퍼레이터(Reply Operator) 조직이 FAX 문서와 관련된 악성 메일을 유포한 정황을 확인하였습니다. 어제 오전 포착된 이 메일은 WiseFAX 문서.rar 이라는 RAR 파일을 첨부하였으며, FAX를 확인하라는 메시지와 함께 사용자들의 클릭을 유도했습니다. [그림 1] FAX 문서를 사칭한 악성 이메일 화면 리플라이 오퍼레이터 조직은 '대한민국 국세청', '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장', '이미지 사용 중지 요청' 등을 통해 랜섬웨어를 한국에 집중 유포하고 있습니다. 이번에 발견된 메일에도 다음과 같은 ‘reply-to’ 부분이 존재했..

악성코드 분석 리포트 2019. 5. 8. 08:48

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 마블 스튜디오의 어벤져스 시리즈 "어벤져스 : 엔드게임"이 국내/외에서 많은 관심을 받고 있는 상황에서사용자의 정보를 가로채는 피싱 사이트가 발견되어 사용자들의 각별한 주의가 필요합니다. [그림 1] 어벤져스 : 엔드게임 무료 시청 피싱 사이트 피싱 사이트는 사용자가 검색을 통해 접속하는 방식으로 사회공학(Social Engineering)기법이 사용 되었습니다. 현재 다수의 웹사이트를 제작 한 것으로 보이며 시큐리티대응센터(ESRC)에서는 관련 사이트를 지속적으로 추적 중입니다. 사용자가 피싱 사이트에 접속하게 되면 "어벤져스 : 엔드게임" 영상을 무료로 볼 수 있다고 설명하고 있으며, 실제 영상 플레이를 클릭하게 되면 몇 초간 영상이 ..

악성코드 분석 리포트 2019. 5. 7. 18:03

New MegaCortex Ransomware Found Targeting Business Networks 기업 네트워크 및 사용자 PC를 노리는 새로운 랜섬웨어 MegaCortex가 발견되었습니다. 공격자는 네트워크 침투에 성공하면, 윈도우 도메인 컨트롤러를 통해 해당 랜섬웨어를 네트워크 전체에 배포하고 PC를 감염시킵니다. Sophos의 보고서에 따르면 이 새로운 랜섬웨어는 주로 미국, 이탈리아, 캐나다, 프랑스, 네덜란드, 아일랜드의 사용자들을 감염시켰습니다. 아직 이 랜섬웨어에 대한 암호화 알고리즘, 네트워크 침투 방법, 랜섬머니 요구 과정 등은 정확히 알려지지 않았습니다. MegaCortex 랜섬웨어 Sophos의 연구원들은 Emotet 및 Qakbot 트로이목마가 발견되었던 네트워크에서 Meg..

국내외 보안동향 2019. 5. 7. 13:44

[5월 첫째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [CJ대한통운]OOO 주소도로 불명, 배송할 수 없음, 주소 재확2 [Web발신] [CJ대한통운]고객님(등기소포)반송처리되었으니 주소를 수정하세요 3 [Web발신] CJ대한통운[699349670492]상품14~16시배송예정. 더자세한것은☞4 KB저축은행 출처 : 알약M기간 : 2019년 4월 29일 ~ 2019년 5월 3일

안전한 PC&모바일 세상/스미싱 알림 2019. 5. 3. 14:07

Pre-Installed Software Flaw Exposes Most Dell Computers to Remote Hacking 보안 연구원인 Bill Demirkapi가 대부분의 델 컴퓨터에 탑재되어 출시되는 SupportAssist 유틸리티에서 치명적인 원격 코드 실행(RCE) 취약점을 발견했습니다. Dell SupportAssist(구 Dell System Detect)는 사용자 컴퓨터 시스템의 하드웨어와 소프트웨어의 상태를 검사합니다. 이 유틸리티는 델의 지원 웹사이트와 상호작용하고 자동으로 델 제품의 서비스 태그나 익스프레스 서비스 코드를 탐지합니다. 또한, 기존 장치 드라이버를 스캔하여 누락되었거나 설치 가능한 드라이버를 설치하며, 하드웨어 진단 테스트도 실행하도록 설계되어 있습니다. De..

국내외 보안동향 2019. 5. 3. 11:26

Decryptor for MegaLocker and NamPoHyu Virus Ransomware Released Emsisoft가 노출된 Samba 서버들을 노리는 MegaLocker와 NamPoHyu 바이러스 랜섬웨어용 복호화 툴을 공개했습니다. 이제 사용자들은 이 무료 복호화 툴을 사용하여 파일을 무료로 해독할 수 있게 되었습니다. MegaLocker 및 NamPoHyu 바이러스 랜섬웨어는 노출된 Samba 서버를 노리며, 피해자 PC의 데이터를 원격으로 암호화합니다. 복호화 방법 1. 복호화 툴을 다운로드합니다.MegaLocker & NamPoHyu 복호화 툴 다운로드: https://www.emsisoft.com/decrypter/megalocker 2. 라이선스 문구가 팝업되면 동의를 클릭하고..

국내외 보안동향 2019. 5. 3. 10:58

■ 학술회의 프로그램을 위장한 APT 공격 등장 안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2019년 04월 10일 제작된 새로운 HWP 악성 문서파일이 발견되었고, 정부 후원을 받고 있는 '금성121(Geumseong121)'이 위협 배후에 있는 것으로 확인되었습니다. ESRC에서는 이번 APT(지능형지속위협) 공격이 지난 4월 경 은밀하게 수행됐을 것으로 의심하고 있으며, 식별된 악성 파일의 이름은 '[한국정치학회] 춘계학술회의 프로그램.hwp' 입니다. [그림 1] HWP 악성 문서 파일의 내부 스트림 화면 ■ 금성121, 매우 활발한 사이버 스파이 위협 조직 'BIN0001.eps' 파일 내부에는 다음과 같은 포스트 스크립트(Post Script) 코드가 포함되어 있으며, ..

악성코드 분석 리포트 2019. 5. 2. 16:37

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 02일) '요청자료'라는 MS Excel(.xls) 파일을 위장한 악성 파일이 포함된 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다. [그림 1] '요청자료'를 위장한 악성 피싱 메일1 [그림 2] '요청자료'를 위장한 악성 피싱 메일2 두 메일은 모두 발신자명이 '최성은'으로 동일하며, 도메인은 각기 다른 것을 확인하실 수 있습니다. 또한 메일 제목은 '서류(두번째)'라는 수신자의 흥미를 끌만한 타이틀로 작성되어 있습니다. 메일 내용 또한 '파일보내드립니다.'라는 짧은 문구와 '요청자료2.xls'이라는 MS Excel 파일을 첨부해 해당 메일을 받은 담당자가 확인할 자료가 있는지 헷갈리도록 만들었습니다. 메일에..

악성코드 분석 리포트 2019. 5. 2. 14:50