안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 일명 '코니(Konni)' 조직으로 명명된 APT 공격그룹이 최근 HWP 한글문서 취약점을 적극적으로 활용하기 시작했습니다. 정부 후원을 받는 것으로 추정되는 '코니(Konni)' 그룹은 '김수키(Kimsuky)' 조직과의 연관성이 높으며, 최근 암호화폐 거래관련 미끼 파일을 이용하고 있습니다. ESRC에서 두 조직간의 연결고리가 이어지고 있다는 점에 주목하고 있으며, 이번 APT 작전을 '오퍼레이션 코인 플랜(Operation Coin Plan)'으로 명명하고 지속적인 분석을 진행 중입니다. ■ 코니(Konni) 조직, HWP 취약점 활용 새롭게 발견된 악성 문서파일은 2019년 10월 01일 제작되었고, '마켓팅플랜.hwp' 이름으로 ..

악성코드 분석 리포트 2019. 10. 1. 19:15

안녕하세요.이스트시큐리티 시큐리티대응센터(ESRC)입니다. 지난주(9/26)부터 악성 이메일을 통한 이모텟(Emotet) 악성코드가 꾸준히 유포되고 있어 주의가 필요합니다. ※ 이모텟(Emotet) 악성코드 관련 글 보기 ▶ 구매 송장 메일로 위장해 사용자 정보를 노리는 악성코드 주의!!▶ 악성 매크로가 포함된 수수료 관련 악성 메일 주의!▶ Emotet 트로이목마, 새로운 모듈을 사용해 피해자의 이메일 훔치기 시작해▶ Trojan.Agent.Emotet 악성코드 분석 보고서 악성문서파일이 첨부되어 있는 이메일은 한가지 내용이 아닌 다양한 형태의 소재로 내용이 작성되어 있습니다. - '[설문 참여] PC 로그인 지연현상 발생여부 설문조사', - xxxxx건의 출원을 위한 영문 명세서 검토 요청 및 서명서..

악성코드 분석 리포트 2019. 10. 1. 18:17

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019/09/30) "이름 지원서"로 위장하여 Nemty 랜섬웨어가 유포되고 있는 정황을 확인하였습니다. [그림 1] "이름 지원서"로 위장한 악성 메일 [그림 2] 지원서를 사칭한 악성 메일2 지원서를 위장한 악성 메일 캠페인은 비너스락커(VenusLocker) 조직의 수행으로 추정되며, 최근에도 채용 지원서를 위장하여 Nemty 랜섬웨어를 유포했습니다. 이번에 발견된 스팸 캠페인은 한메일 계정을 통해 발송되었고, 기존에 발견된 메일과 동일하게 입사지원서를 사칭했습니다. 메일의 첨부파일은 7z 형식으로 압축되어 있었으며, 압축파일 내부에는 MS Word 문서로 위장한 악성 EXE 랜섬웨어가 포함되어 있습니다. [그림 3] 스팸 메일에 ..

악성코드 분석 리포트 2019. 9. 30. 16:53

Fake Apps Sneak Gambling Into iOS and Android App Stores 도박 앱들이 정책을 준수하는 앱으로 위장하여 구글 플레이와 앱스토어의 심사를 통과했습니다. 이 앱들은 앱스토어의 정책 검사를 우회한 후, 사용자들이 도박 기능을 사용할 수 있게 만들었습니다. 이 앱들은 지난 8월 안드로이드 공식 스토어에 등록되었습니다. iOS의 경우, 10만 건 이상의 리뷰가 등록된 경우도 있었습니다. 앱스토어 심사 시스템 우회 실제 돈을 걸고 하는 게임 앱에 대한 제한이 더욱 강화돼, 9월 3일을 기준으로 애플 심사의 경우 이 기능에 대한 코드를 바이너리에 포함 시켜야 합니다. 구글 또한 도박 앱이 합법적인 영국, 프랑스, 아일랜드의 안드로이드 스토어에서만 도박 앱을 허용합니다. 하지..

국내외 보안동향 2019. 9. 30. 15:44

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. ESRC는 지난 4월부터 정부기반 해킹그룹 '김수키(Kimsuky)' 조직의 APT 캠페인 '스모크 스크린(Smoke Screen)' 활동에 대해 공개한 바 있으며, 이들은 한국과 미국을 대상으로 지속적인 위협활동에 가담하고 있습니다. 특히, 김수키 조직원 중 일부가 여러 프리랜서 사이트에 가입해 각종 프로그램 외주개발 활동에 참여한 실체를 처음으로 공개한 바 있고, 이들이 해외 비트코인 커뮤니티에서 은밀히 코인 거래 중인 사실도 밝혀냈습니다. 과거 은둔 기밀 첩보활동에서 벗어나 카카오톡, 텔레그램, 스카이프 등의 온라인 메신저를 통해 개인간 직접 연락을 시도하는 과감한 활동성도 보여주고 있습니다. ▶ 암호화된 APT 공격, Kimsuky..

악성코드 분석 리포트 2019. 9. 27. 21:15

[9월 넷째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [Web발신][배송 조회]상품 (거리 주소 불구체적) 주소 확인2 상담문의 09시~17시 까지 입니다 CA인베스트먼트 (가)계약서 작성앱 3 007-7725-3253 [국외발신] 롯데 패키지가 있으니 확인하십시오. 자세한 내용은 http[:]//ilogen.top/ 무료거절번호 080-139-5543 4 [Web발신][CJ-통운] 상품 포장이 파손되고 상세한 정보 ☞ bit[.]ly/2lX1qjF 출처 : 알약M기간 : 2019년 9월 23일 ~ 2019년 9월 27일

안전한 PC&모바일 세상/스미싱 알림 2019. 9. 27. 16:23

Microsoft: New Nodersok malware has infected thousands of PCs 전 세계의 윈도우 컴퓨터 수천 대가 새로운 악성코드에 감염되었습니다. 이 악성코드는 감염된 시스템을 프록시로 변신시키고 클릭 사기를 수행하기 위해 Node.js 프레임워크의 복사본을 다운로드 및 실행합니다. 마이크로소프트가 'Nodersok'으로 시스코는 'Divergent'라 명명한 이 멀웨어는 지난 여름 처음 발견되었습니다. 이 악성코드는 사용자 컴퓨터에 강제로 HTA 파일을 다운로드한 악성광고를 통해 배포되었습니다. HTA 파일을 실행하면 엑셀, 자바스크립트, 파워쉘 스크립트를 동반한 다단계 감염 프로세스를 거쳐 마지막에는 Nodersok 악성코드를 다운로드하고 실행합니다. 이 악성코드는 ..

국내외 보안동향 2019. 9. 27. 11:20

안녕하세요? 이스트시큐리티 시큐리티 대응센터(이하 ESRC)입니다. 지난 09월 22일 코니(Konni) 그룹의 새로운 위협활동이 포착되었습니다. ESRC는 이번 공격에 사용된 악성파일이 기존에 보고되었던 코니(Konni) 시리즈와 동일한 것으로 분류하였습니다. 지난 달 19일 보고한 바 있는 【코니(Konni) APT 조직, 러시아 문서로 위장한 공격 등장】 사례와 매우 유사합니다. ■ 러시아어로 작성된 악성문서 공격 지속 공격에 사용된 벡터는 스피어 피싱(Spear Phishing) 방법이 사용되었을 것으로 추정되며, 한국에서 보고되었습니다. 첨부파일로 사용되었을 것으로 의심되는 악성파일은 러시아어로 'Россия – КНДР – РК – торгово-экономические связи – инве..

악성코드 분석 리포트 2019. 9. 27. 09:45