안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 13일) 오전 국내 조선사를 사칭한 견적 의뢰 요청 건이라는 피싱 메일이 유포되어 사용자들의 주의가 필요합니다. [그림 1] 국내 조선사를 사칭한 피싱 메일 화면 해당 피싱 메일은 다음(daum) 도메인인 'hanmail.net'를 사용하였으며, 첨부된 대용량 파일이 아래 그림과 같이 링크를 통해 다운로드됩니다. [그림 2] 악성 대용량 파일 다운로드 화면 메일에 첨부된 대용량 파일은 각각 ACE 압축 포맷과 ZIP 압축 포맷의 압축 파일이며 해당 파일을 압축 해제하면 PDF 파일을 위장한 악성 실행파일이 들어 있습니다. [그림 3] 압축 파일 안의 악성 파일 화면 압축 파일 안에는 아래 그림과 같이 이중 확장자 형태(,..

악성코드 분석 리포트 2019. 5. 13. 15:22

North Korean Hackers Use ELECTRICFISH Malware to Steal Data 미 연방 수사국(FBI)과 미 국토안보부(DHS)가 북한 APT 그룹인 라자루스(Lazarus)에 대한 분석 보고서를 발행했습니다. 발표된 분석 보고서에는 피해자들로부터 데이터를 추출하는 악성코드인 ELECTRICFISH에 대한 내용이 포함되어 있습니다. US-CERT 사이트에 공개된 MAR AR19-129A에 따르면, 이 악성코드는 북한 해킹 그룹인 히든 코브라(HIDDEN COBRA)의 악성 행위를 추적하던 중 발견되었습니다. HIDDEN COBRA는 Lazarus, Guardians of Peace, ZINC, NICKET ACADEMY로도 알려져 있습니다. MAR-10135536-21 악성코..

국내외 보안동향 2019. 5. 13. 09:41

[5월 둘째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 CJ대한통운 주소가 틀려서 물건 배송이 안돼요 주소재확인2 お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました。 下記よりご確認ください。 3 [-CJ대한],‘고객님 등기소포 /상세주소다시확인주세요4 [Web발신]CJ대한통운]OOO5/9상품주소모호해주소변경부탁드립. 출처 : 알약M기간 : 2019년 5월 6일 ~ 2019년 5월 10일

안전한 PC&모바일 세상/스미싱 알림 2019. 5. 10. 11:28

Dharma Ransomware Uses Legit Antivirus Tool To Distract Victims 새로운 Dharma 랜섬웨어 변종이 ESET의 AV Remover를 '연막'으로 사용해 피해자들의 주의를 돌리고, 백그라운드에서 파일을 암호화하는 것으로 나타났습니다. 이 랜섬웨어는 스팸 메일을 통해 타깃 컴퓨터로 전달되며, 스팸 메일에는 Dharma 드롭퍼 바이너리를 포함한 패스워드로 보호된 자동 압축 해제 아카이브인 Defender.exe를 첨부하고 있습니다. 이 악성 파일은 해킹된 서버 link[.]fivetier[.]com에서 호스팅됩니다. [그림 1] Dharma 감염 체인 악성 파일의 패스워드는 스팸 메일에 포함되어 있으며, 호기심 많은 피해자가 자신의 시스템에서 Dharma에 감..

국내외 보안동향 2019. 5. 10. 11:02

A bug in Mirai code allows crashing C2 servers NewSky Security의 연구원인 Ankin Anubhav가 미라이 봇(Mirai) 변종에 존재하는 버그를 이용해 C&C 서버를 중단하는 방법에 대해 소개했습니다. 그는 계정 명에 1025개 이상의 문자 “a”를 연속적으로 사용하여 C&C 서버와 연결을 시도할 경우 C&C 서버가 중단된다고 밝혔습니다. Github의 미라이 소스 코드 분석 결과, 사용자 이름이 Readline 커스텀 함수로 전달되는 것을 발견했습니다. 이 함수는 고정 버퍼 사이즈 길이를 1024로 선언했기 때문에, 1024보다 큰 값을 입력할 경우 모듈이 중단됩니다. 주요 IoT 봇넷이 미라이 코드를 기반으로 하고 있기 때문에, 이 취약점은 많은 변..

국내외 보안동향 2019. 5. 9. 09:00

ICS-CERT warns of several flaws in the GE Communicator software ICS-CERT가 GE 커뮤니케이터 소프트웨어에 존재하는 권한 상승, 하드코딩 크리덴셜 등을 포함한 취약점 5개에 대해 경고했습니다. GE 커뮤니케이터는 계량 장치를 프로그래밍하고 모니터링하는데 사용하는 사용자 친화적 소프트웨어입니다. 사용자들이 계량 장치를 프로그래밍해 실시간 측정 데이터를 열람하고 수집한 데이터를 분석할 수 있도록 도와줍니다. 이 프로그램은 전력 공급 회사, 대규모 제조사 등 전 세계 많은 조직들이 사용 중입니다. 공격자가 이 취약점을 악용할 경우 해당 GE 커뮤니케이터 소프트웨어를 실행하는 워크스테이션에 대한 관리자 권한을 얻을 수 있습니다. 전문가들은 공격자들이 이 문..

국내외 보안동향 2019. 5. 8. 15:07

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 08일) 오전부터 '수정 부분 번역 요청' 혹은 '서류'라는 MS Excel(.xls) 파일을 위장한 악성 파일이 포함된 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다. 이 피싱 메일은 지난 5월 2일에도 대량으로 유포된 적이 있었던 바 있습니다. ※ 관련글 보러가기 ▶ 유출된 소스코드 기반으로 제작된 악성코드 유포 주의 (2019.02.14)▶ Trojan.Ransom.Clop 악성코드 분석 보고서 (2019.03.22)▶ 클롭(Clop) 랜섬웨어 유포 조직이 진행하는 기업 타깃 대량공격 주의! (2019.04.24)▶ TA505 조직, 요청자료 엑셀문서처럼 위장해 한국에 악성 이메일 유포 중 (2019.05...

악성코드 분석 리포트 2019. 5. 8. 11:27

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 2019년 5월 7일, ESRC에서는 리플라이 오퍼레이터(Reply Operator) 조직이 FAX 문서와 관련된 악성 메일을 유포한 정황을 확인하였습니다. 어제 오전 포착된 이 메일은 WiseFAX 문서.rar 이라는 RAR 파일을 첨부하였으며, FAX를 확인하라는 메시지와 함께 사용자들의 클릭을 유도했습니다. [그림 1] FAX 문서를 사칭한 악성 이메일 화면 리플라이 오퍼레이터 조직은 '대한민국 국세청', '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장', '이미지 사용 중지 요청' 등을 통해 랜섬웨어를 한국에 집중 유포하고 있습니다. 이번에 발견된 메일에도 다음과 같은 ‘reply-to’ 부분이 존재했..

악성코드 분석 리포트 2019. 5. 8. 08:48