안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019/10/10) "전자상거래 위반행위 조사통지서"로 위장하여 Nemty 랜섬웨어가 유포되고 있는 정황이 포착되었습니다. ESRC 조사 결과, 비너스락커(VenusLocker) 조직의 소행으로 추정되며, 정부 공문 포맷 이미지를 이용해 현재 대량으로 유포되고 있어 사용자들의 각별한 주의가 필요합니다. [그림 1] "전자상거래 위반행위 조사통지서"로 위장한 악성 메일 [그림 2] 메일에 첨부된 공정거래위원회 통지서 상세 내용 이번에 발견된 스팸 캠페인은 한메일 계정을 통해 발송되었고, 이전에 유포된 적 있는 공정거래위원회를 사칭했습니다. 메일의 첨부파일은 7z 형식으로 압축되어 있었으며, 압축파일 내부에는 PDF 문서로 위장한 악성 EX..

악성코드 분석 리포트 2019. 10. 10. 13:16

You Gave Your Phone Number to Twitter for Security and Twitter Used it for Ads 트위터는 사용자 일부가 이중 인증(2FA)을 위해 트위터에 제공한 전화번호와 이메일 주소를 타깃 광고에 사용했다고 밝혔습니다. 하지만 이는 의도적이 아니었다고도 덧붙였습니다. 트위터는 블로그를 통해 ‘맞춤형 오디언스 및 파트너 대상 광고 시스템’에서 오류가 발생해 사용자가 보안상의 이유로 제공한 정보를 광고주의 마케팅 리스트를 기반으로 한 타깃 광고에 실수로 사용했다고 밝혔습니다. 트워터는 "광고주가 마케팅 리스트를 업로드할 때, 이 리스트의 이메일과 전화번호를 트위터 사용자들이 보안 목적으로 제공한 정보와 매칭했을 수 있습니다. 이는 오류였으며, 이에 대해 사과드..

국내외 보안동향 2019. 10. 10. 10:46

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2019년 3분기, 알약을 통해 총 22만 9564건의 랜섬웨어 공격이 차단된 것으로 확인되었습니다. 이번 통계는 일반 사용자를 대상으로 제공하는 공개용 알약의 ‘랜섬웨어 행위기반 차단 기능’을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 공격까지 포함하면 전체 공격은 더욱 많은 것으로 예상됩니다. 통계에 따르면 2019년 3분기에 알약을 통해 차단된 랜섬웨어 공격은 총 22만 9564건으로, 이를 일간 기준으로 환산하면 일평균 약 2,496건의 랜섬웨어 공격이 차단된 것으로 볼 수 있습니다. 시큐리티대응센터(이하 ESRC)는 이번 3분기 주요 랜섬웨어 공격동향으로 3가지를 꼽았습니다. 먼저 2019년 2분기에 첫 등장했던 소디노키비(Sod..

전문가 기고 2019. 10. 10. 09:55

RobbinHood Ransomware Using Street Cred to Make Victims Pay RobbinHoood 랜섬웨어 운영자들이 랜섬노트 언어를 변경함으로써 무료 복호화에 대한 가능성을 모두 제거하고 사용자에게 랜섬을 지불하도록 만들었습니다. 그리고 해커들은 메시지를 통해 랜섬웨어에 감염된 후 랜섬머니 보다 비싼 비용을 치른 과거 사건들을 언급했습니다. 과거 사건 이용 해커들은 현재 RobbinHood 랜섬웨어에 구현된 암호화 체계에 대한 복호화 툴이 없다고 말했습니다. 특히 해커들의 개인 키와 소프트웨어 없이는 파일을 복구하는 것이 불가능하다는 점을 강조했습니다. 공격자는 피해자들에게 노스캐롤라이나 주 그린빌(Greenville) 시스템 감염 사건과, 볼티모어 시의 서버를 공격했던 ..

국내외 보안동향 2019. 10. 8. 10:19

HildaCrypt Ransomware Developer Releases Decryption Keys HildaCrypt 랜섬웨어 개발자가 개인 해독 키를 공개하기로 결정했습니다. 이 키가 있으면 HildaCrypt 랜섬웨어로 암호화된 파일을 무료로 해독할 수 있는 해독기를 만들 수 있습니다. [그림 1] HildaCrypt 랜섬웨어 복호화 키 보안 연구원인 Michael Gillespie는 해당 복호화 키를 받아 진위성을 확인한 후, 이를 이용하여 해독 툴을 만들어 공개했습니다. 키를 열람하거나 이를 이용하여 해독기를 만들고자 할 경우 아래의 링크에서 확인하실 수 있습니다. ※ Emsisoft Decryptor for HildaCrypt:https://www.emsisoft.com/ransomware-..

국내외 보안동향 2019. 10. 7. 09:26

FBI's new ransomware warning: Don't pay up, but if you do, tell us about it 정부 기관들에 대한 랜섬웨어 공격이 빈번히 발생하자, FBI가 랜섬웨어의 요구를 들어주는 것에 대한 새로운 입장을 발표했습니다. 이 대단한 랜섬웨어의 가장 최근 피해자는 미국 알라바마와 호주의 빅토리아에 위치한 병원이었습니다. 양쪽 모두 직원들이 IT 시스템을 복구하기 위한 작업중이었기 때문에 긴급하지 않은 환자들을 돌려보내야 했습니다. 정부 및 의료 서비스 제공처에 대한 공격으로 인해 피해자들은 제대로 백업 되었을지 모르는 데이터로부터 시스템을 복구하는 것이 나은지, 공격자에게 돈을 그냥 지불하는게 나을지 고민해야 했습니다. 다운타임으로 인한 비용이 랜섬 머니보다 클 ..

국내외 보안동향 2019. 10. 4. 10:27

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 일명 '코니(Konni)' 조직으로 명명된 APT 공격그룹이 최근 HWP 한글문서 취약점을 적극적으로 활용하기 시작했습니다. 정부 후원을 받는 것으로 추정되는 '코니(Konni)' 그룹은 '김수키(Kimsuky)' 조직과의 연관성이 높으며, 최근 암호화폐 거래관련 미끼 파일을 이용하고 있습니다. ESRC에서 두 조직간의 연결고리가 이어지고 있다는 점에 주목하고 있으며, 이번 APT 작전을 '오퍼레이션 코인 플랜(Operation Coin Plan)'으로 명명하고 지속적인 분석을 진행 중입니다. ■ 코니(Konni) 조직, HWP 취약점 활용 새롭게 발견된 악성 문서파일은 2019년 10월 01일 제작되었고, '마켓팅플랜.hwp' 이름으로 ..

악성코드 분석 리포트 2019. 10. 1. 19:15

안녕하세요.이스트시큐리티 시큐리티대응센터(ESRC)입니다. 지난주(9/26)부터 악성 이메일을 통한 이모텟(Emotet) 악성코드가 꾸준히 유포되고 있어 주의가 필요합니다. ※ 이모텟(Emotet) 악성코드 관련 글 보기 ▶ 구매 송장 메일로 위장해 사용자 정보를 노리는 악성코드 주의!!▶ 악성 매크로가 포함된 수수료 관련 악성 메일 주의!▶ Emotet 트로이목마, 새로운 모듈을 사용해 피해자의 이메일 훔치기 시작해▶ Trojan.Agent.Emotet 악성코드 분석 보고서 악성문서파일이 첨부되어 있는 이메일은 한가지 내용이 아닌 다양한 형태의 소재로 내용이 작성되어 있습니다. - '[설문 참여] PC 로그인 지연현상 발생여부 설문조사', - xxxxx건의 출원을 위한 영문 명세서 검토 요청 및 서명서..

악성코드 분석 리포트 2019. 10. 1. 18:17