암호를 입력해야만 작동하는 악성 매크로가 국내에 다수 유포되고 있어 사용자들의 주의가 필요합니다. 사용자가 악성 매크로가 포함된 DOC 파일을 클릭하면, 암호를 입력하라는 창이 뜹니다. [그림 1] 암호 입력 창 이스트시큐리티에서는 샘플만 수집하였기 때문에 아직 어떠한 형태로 유포되는지는 정확하게 확인되지 않았지만, 이메일을 통해 유포될 것으로 추정되며 암호는 이메일 내용에 포함되어 있을 것으로 추측됩니다. 해당 파일에 암호를 건 이유는 스팸 솔루션을 우회하려고 시도한 것이 아닌가 추측됩니다. 사용자가 암호를 입력하면 아래와 같이 워드파일의 본문 내용이 보여지며 매크로를 실행하라는 문구를 보여줍니다. [그림 2] 매크로 실행을 유도하는 DOC 파일 만약 사용자가 [콘텐츠 사용]을 클릭하면 워드 파일에 포..

악성코드 분석 리포트 2018. 12. 11. 11:26

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. 과거 비너스락커(VenusLocker) 랜섬웨어를 유포했던 위협조직이 최근 대규모로 악성 이메일을 국내에 유포하는 정황이 지속적으로 포착되고 있어 이용자 분들의 각별한 주의가 필요해 보입니다. 이들 조직은 한글로 '입사지원서', '이미지 무단사용 내용의 저작권법 안내' 등으로 이용자들을 현혹하고, 악성 매크로 코드가 포함된 DOC 워드파일을 첨부해 집중적으로 유포하고 있으며, 주로 갠드크랩(GandCrab) 랜섬웨어를 전파시키고 있습니다. 아울러 최근에는 '임금체불관련 출석요구서', '바로가기(LNK) 파일을 새로 제작', '입사지원서 사칭 유포' 한 내용들을 알약 공식 블로그를 통해 신속하게..

악성코드 분석 리포트 2018. 12. 10. 22:48

STOLEN PENCIL campaign, hackers target academic institutions. 북한과 관련이 있는 APT 그룹이 적어도 올해 5월부터 교육 기관들을 노리고 있었던 것으로 나타났습니다. 이들은 교육 기관들에 스피어 피싱 공격을 실행했습니다. 이 피싱 메시지에는 사용자들이 악성 구글 크롬 확장 프로그램을 설치하도록 속이려 시도하는 디코이 문서가 있는 웹사이트로의 링크도 포함 되어 있었습니다. STOLEN PENCIL이라 명명 된 이 캠페인의 피해자들 중 상당 수는 다수 대학의 생물 의학 공학 전문가였습니다. 공격자들은 기성 툴을 사용해 지속성을 유지하지만, NetScout에 따르면 이들의 OPSEC은 허술했습니다. “이 공격의 궁극적인 동기는 알 수 없었지만, 공격자들은 크리..

국내외 보안동향 2018. 12. 10. 16:01

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 악성 매크로가 포함된 수수료 관련 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다. ※ 관련글 보기 ▶ 매크로를 이용한 송장 관련 악성 메일 유포 주의▶ Trojan.Agent.Emotet 악성코드 분석 보고서▶ [업데이트][주의] 견적서를 위장한 악성메일 지속적으로 유포중! 사용자들의 주의 필요▶ 특정 기업의 프로젝트 파일처럼 위장한 악성 메일 유포 주의▶ 국내 실제 기업명을 사칭한 악성 메일 유포 주의 이번에 발견된 악성메일은 수수료에 관련된 내용으로, project-agreement 제목의 악성 매크로가 포함된 doc 파일이 첨부되어 있습니다. 사용자가 해당 파일을 실행하면 매크로 활성화를 유도하며, 사용자가 매크로 기능을 활성화 ..

악성코드 분석 리포트 2018. 12. 7. 15:16

[12월 첫째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [Web발신]CJ대한통운 고객님상품월요일오후 14~16시 배송예정. 더 자세한것은 2 [Web발신][CJ대한통운]주문하신물품 배송불가.도로명불일치.수정하세요. 3 [Web발신][CJ대한]12/2 운송장번호[301****21]주소지 미확인으로인해 반송처리 주소확인 출처 : 알약M기간 : 2018년 12월 03일 ~ 12월 07일

안전한 PC&모바일 세상/스미싱 알림 2018. 12. 7. 14:50

Botnet of 20,000 WordPress Sites Infecting Other WordPress Sites 20,000개 이상의 워드프레스 사이트들로 이루어진 봇넷이 다른 워드프레스 사이트를 감염시키는 공격에 사용 되고 있는 것으로 나타났습니다. 새로운 사이트들이 해킹 되면, 이 사이트들은 봇넷에 추가 되어 공격자의 명령을 수행하는데 사용 될 수 있습니다. 워드프레스 보안 회사인 Defiant의 새로운 연구에 따르면, 공격자들이 워드프레스 사이트 2만개 이상을 봇넷에 참여 시켜 인터넷에 공개 된 다른 워드프레스 사이트들에 브루트포싱 공격을 가하는 명령어를 실행할 수 있는 것으로 나타났습니다. Defiant는 그들의 브루트포싱 보호 모듈과 IP 블랙리스트를 통해 이 공격자의 인증 시도 5백만 건 ..

국내외 보안동향 2018. 12. 7. 14:18

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 프린터에서 영문으로 된 이상한 인쇄물들이 출력되어 프린터 해킹이 의심 된다는 제보가 이어지고 있습니다. 인쇄 페이지에는 Printeradvertising.com이라고 불리는 새로운 서비스가 출시되었으며, 이 서비스는 전 세계에 모든 연결된 프린터들에 바이럴 광고가 가능하다고 홍보하고 있습니다. 보안회사 CEO인 Morris는 허니팟을 통해 194.36.173.50 IP 주소에서 적어도 60개 이상의 악의적인 인쇄작업 요청을 감지했다고 밝혔습니다. Bad Packets Report와 Pishing AI‏는 이 IP 주소가 피싱 키트, C2 서버, Lokibot와 같은 악성 프로그램 등의 악성 활동으로 알려진 서브넷에 속한다고 명시하고 있습니..

악성코드 분석 리포트 2018. 12. 6. 17:02

Fractured Block Campaign: CARROTBAT dropper dupports a dozen decoy document formatsSecurity Affairs Palo Alto Networks의 연구원들이 최근 많은 페이로드를 드랍하기 위해 수십여 개의 미끼 파일 포맷을 지원하는 악성코드 드롭퍼인 CARROTBAT을 발견했습니다. CARROTBAT은 2018년 3월 처음 발견 되었지만, 지난 3개월 동안 연구원들은 이 드롭퍼 관련 활동이 급격히 증가한 것을 발견했습니다. CARROTBAT은 대한민국과 북한 지역에 페이로드를 드랍하기 위해 사용 되었습니다. 공격자들은 미끼 문서에 가상화폐, 가상화폐 거래 및 정치 이벤트와 같은 주제를 사용했습니다. 또한 작년 12월, CARROTBAT은..

국내외 보안동향 2018. 12. 6. 15:08