안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 2019년 02월 20일 경부터 포착되기 시작한 새로운 갠드크랩 한국 유포조직(특징:어눌한 한국어 표현 사용)이 국내 사용자들을 대상으로 지속적인 랜섬웨어 공격을 진행하고 있습니다. 최근 '경찰청 소환장', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등을 통해 랜섬웨어를 한국에 집중 유포하고 있습니다. 이들 조직은 기존 '[비너스락커] 랜섬웨어 유포 조직'과는 확연히 구분되고 있는 상태입니다. ※ 관련글 보기 ▶ [주의] 헌법 재판소 소환장으로 유포중인 갠드크랩 v5.2 주의! (2019. 02. 25)▶ 지마켓 할인 쿠폰을 위장하여 유포되고 있는 갠드크랩 랜섬웨어 주의! (2019. 02. 22)▶ 경찰청 소환장으로 유포중인 갠드크랩 랜섬웨..

악성코드 분석 리포트 2019. 2. 27. 10:53

FilesLocker病毒招募代理化身“蛇发女妖” 感染数家政企单位 중국의 보안 기업인 Tencent는 최근 중국에서 유포되고 있는 Gorgon 랜섬웨어에 대해 주의를 당부하였습니다. 고르곤(Gorgon)은 그리스신화에 등장하는 세 명의 자매 괴물로, 머리카락이 수많은 뱀으로 이루어진 괴물을 지칭합니다. Tencent 분석 결과, Gorgon 랜섬웨어는 최근 중국에서 유포 중이며, 이미 많은 정부 및 기업들이 감염되었다고 밝혔습니다. 또한 Gorgon 악성코드는 FilesLocker 랜섬웨어에서 UI만 바뀐 것 같다고 말했습니다. FilesLocker 랜섬웨어는 2018년 10월 처음 발견되었으며, 주로 정부부처 및 기관들을 타겟으로 공격을 진행하였습니다. 이 랜섬웨어 등장 후 "대리"를 모집하여 조직화, 산..

국내외 보안동향 2019. 2. 26. 16:13

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2/26) 갠드크랩(GandCrab) 랜섬웨어를 유포하던 비너스락커 조직이 기존과 유사한 방식으로 구직시즌에 맞춰 입사지원서를 위장하여 갠드크랩(GandCrab) 랜섬웨어 v5.2을 새롭게 유포하는 정황이 포착되어 사용자들의 주의가 필요합니다. [그림 1] 메일 이미지 해당 메일의 특징은 이메일 제목이 없고 메일의 본문에는 "백만불짜리 열정을 보여드리겠습니다." "성실하고 꼼꼼한 지원자 입니다." 등과 같은 간단한 내용이 작성되어 있습니다. 해당 이력서에 첨부된 압축파일을 풀어보면, 압축파일 내에는 다음과 같은 파일들이 포함되어 있습니다. (메일 첨부파일마다 조금씩 상이할 수 있습니다.) [그림 2] 압축 파일 이미지 첨부파일에는 (파일명..

악성코드 분석 리포트 2019. 2. 26. 14:53

Malspam Exploits WinRAR ACE Vulnerability to Install a Backdoor 연구원들이 악성 RAR 아카이브를 배포하는 악성 스팸 캠페인을 발견했습니다. 이 캠페인은 컴퓨터에 악성코드를 설치하기 위해 새로이 발견된 WinRAR ACE 취약점을 악용하는 첫 번째 익스플로잇으로 보입니다. 지난주 발견된 이 19년 된 취약점은 WinRAR UNACEV2.DLL 라이브러리에 존재하며, 특수하게 제작된 ACE 아카이브가 윈도우 시작 폴더에 파일을 압축 해제할 수 있도록 허용합니다. 이로써 해당 실행 파일이 지속성을 얻으며, 사용자의 다음 로그인 시 자동으로 실행될 것입니다. WinRAR 개발자들은 취약한 UNACEV2.DLL 라이브러리의 소스 코드에 접근할 수 없는 상태이기 ..

국내외 보안동향 2019. 2. 26. 10:15

B0r0nt0K Ransomware Wants $75,000 Ransom, Infects Linux Servers B0r0nt0K이라는 신종 랜섬웨어가 피해자의 웹사이트를 암호화 시키고 20 비트코인(약 $75,000상당)을 요구하고 있습니다. 이 랜섬웨어는 리눅스 서버를 감염시키는 것으로 알려졌으나, 윈도우 사용자들을 암호화할 수 있을 가능성도 있는 것으로 나타났습니다. BleepingComputer 포럼의 한 사용자는 고객의 웹사이트가 신종 B0r0nt0K 랜섬웨어에 감염되었다고 제보했습니다. 이 암호화된 웹 사이트는 우분투 16.04에서 실행되고 있었으며, 모든 파일이 암호화되고, 이름이 변경되고 .rontok 확장자가 붙었습니다. 이 랜섬웨어의 샘플은 아직까지 발견 되지 않아, 등록된 파일들 및 ..

국내외 보안동향 2019. 2. 26. 09:18

안녕하세요. 이스트시큐리티입니다. '사이버 보안 위협' 하면 어떤 키워드가 떠오르시나요? 아무래도 최근 몇 년 간은 랜섬웨어가 가장 흔하게, 가장 자주 접하게 되는 보안 위협이지 않았나 싶은데요. 주위에서 '나 랜섬웨어 걸려서 자료 다 날아갔어ㅠㅠ' 하는 이야기를 심심치 않게 들을 수 있고, 알약 블로그만 봐도 입사지원서, 쇼핑몰 할인쿠폰 등으로 위장한 새로운 랜섬웨어 공격을 발견할 수 있습니다. 랜섬웨어란?Ransom(몸값)과 Software(소프트웨어)란 단어가 합쳐져서 생성된 단어로 PC에 존재하는 중요한자료들을 암호화한 후, 암호화된 파일들을 볼모로 삼고 피해자로 하여금 돈을 지불하도록 강요하는 악성코드입니다. 랜섬웨어의 최근 공격 형태 (LINK) >> 그럼에도 랜섬웨어가 나와는 거리가 먼 이야..

안전한 PC&모바일 세상/PC&모바일 TIP 2019. 2. 26. 08:58

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 헌법 재판소 소환장으로 위장하여 갠드크랩(GandCrab) 랜섬웨어 v5.2가 대량 유포되고 있어 사용자들의 각별한 주의가 필요합니다. [그림 1] 깨진 파일이 첨부된 헌법 재판소 사칭 이메일 해당 메일은 25일 오전부터 대량으로 유포되기 시작하였으며 ‘당신은 의제에 법정에 표시해야’라는 어색한 한글로 작성되어 있습니다. 수신자에는 국내 대기업, 기관, 연구소, 금융, 대학 등이 대거 포함되어 있어 주의가 필요합니다. 이 이메일의 내용은 다음과 같이 어색한 한글로 작성되어 있습니다. 최고 헌법 재판소에 의해 환영 받는다! 12:00 년 2 월 25 일에 헌법 재판소에 도착 해야 합니다. 신원 증명을 위한 여권 또는 기타 서류를 소지 해야 합니다..

악성코드 분석 리포트 2019. 2. 25. 16:41

Cr1ptT0r Ransomware Infects D-Link NAS Devices, Targets Embedded Systems 임베디드 시스템용으로 제작된 새로운 랜섬웨어인 Cr1ptT0r가 인터넷에 노출된 NAS 장비를 노리는 것으로 나타났습니다. Cr1ptT0r는 한 사용자가 D-Link DNS-320 장비가 랜섬웨어에 감염된 것을 Bleeping Computer 측에 제보하여 알려졌습니다. D-Link는 DNS-320 제품을 더 이상 판매하지 않지만, 제품 페이지에는 아직까지 지원 되는 것으로 표시되었습니다. 하지만 최신 펌웨어는 2016년에 출시되었으며, 이 장비를 해킹하는데 사용할 수 있는 많은 알려진 버그들이 존재하는 상태입니다. 아직까지 자세한 정보는 밝혀지지 않았지만, 이 랜섬웨어의 공..

국내외 보안동향 2019. 2. 25. 08:49