안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 ‘자문용 질문 190108.hwp’ 이름의 악성 한글 파일이 발견되었습니다. 현재까지도 꾸준한 공격 활동을 유지하고 있는 것으로 확인되어 있어, 이용자들의 주의를 당부드립니다. ※ 관련글 보기 ▶ 오퍼레이션 김수키(Kimsuky)의 은밀한 활동, 한국 맞춤형 APT 공격은 현재 진행형 ‘자문용 질문 190108.hwp’ 문서 내용은 아래와 같이 ‘서면 자문용 질문’ 제목을 하고 있고, 남북한 상황에 대한 질문 내용이 담겨져 있습니다. [그림 1] ‘자문용 질문 190108.hwp’ 문서 화면 2018년 01월 30일 발견된 ‘남북 사회문화협력의 비전과 과제.hwp’ 와 마찬가지로 문서 지은이 계정은 대한민국의 행정기관인 외교부를 mofa(..

악성코드 분석 리포트 2019. 1. 10. 12:54

최근 MS는 공식 홈페이지에 "Windows 10 Mobile지원종료"에 대한 QnA에서 다시한번 관련 소식을 전했습니다. MS는, 2019년 12월 10일부터, Windows 10 Mobile 사용자들은 더 이상 MS가 제공하는 보안패치, 온라인 기술 지원등의 서비스를 제공 받지 못할 것이라고 밝혔습니다. 서드파티 프로그램들은 지원을 계속 할 수도 있지만, 확실한것은 MS는 더 이상 공식적으로 Windows 10 Mobile에 대한 업데이트나 패치를 진행하지 않을 것이라는 것입니다. Win10 Mobile 1709 버전은 2019년 12월까지 지원할 예정이며, Lumia를 포함한 모든 Windows10 Mobile 디바이스들은 2019년 12월 10일 지원종료 예정입니다. 지원종료 후에는 디바이스 설정..

국내외 보안동향 2019. 1. 10. 11:16

Adware Disguised as Game, TV, Remote Control Apps Infect 9 Million Google Play Users 구글 플레이 스토어에서 85개의 게임, TV, 원격 제어 시뮬레이터 앱으로 위장하여 활발히 활동 중인 애드웨어 패밀리가 발견 되었습니다. 이 애드웨어는 풀 스크린 광고를 표시하고, 자신을 숨기고, 기기의 스크린 잠금 해제 기능을 모니터링하고, 모바일 기기의 백그라운드에서 실행될 수 있습니다. 이 85개의 가짜 앱들은 전 세계에서 총 900만회 다운로드 되었습니다. 구글은 관련 제보를 받은 후 가짜 앱들을 플레이 스토어에서 재빨리 제거했습니다. 85개 앱들 중 가장 많은 다운로드를 기록한 앱은 “Easy Universal TV Remote”로, 이 앱을 통..

국내외 보안동향 2019. 1. 10. 08:39

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 2019년 01월 07일 새벽 1시 경 통일부 등을 출입하는 언론사 기자들의 이메일 대상으로 대규모 스피어 피싱(Spear Phishing) 공격이 수행됐습니다. 특히, 'Windows 스크립트 파일(.wsf)'을 이용한 공격이 주목되며, 위협그룹은 자신들의 공격 흔적을 남기지 않기 위해 나름대로 신경을 쓴 것으로 추정됩니다. 더불어 공격조직의 과거 유사한 위협사례를 비교해 본 결과, 특정 정부가 지원하는 해킹조직으로 분류된 상태입니다. ▶ 오퍼레이션 코브라 베놈 등장 배경 ESRC에서는 이번 공격이 2018년 11월 '작전명 블랙 리무진'과 2018년 05월 '작전명 원제로'와 이어진다는 것을..

악성코드 분석 리포트 2019. 1. 7. 10:56

Did Aurora Ransomware infect you? You can decrypt file for free Aurora 랜섬웨어의 피해자들이 데이터를 무료로 복호화할 수 있는 툴이 개발 되었습니다. 윈도우 악성코드인 Aurora 랜섬웨어는 많은 변종들이 있지만, 피해자 대부분은 암호화 된 파일에 .Nano 확장자를 사용하는 버전에 감염 되었습니다. 공격자들은 원격 데스크탑 서비스를 통해 시스템을 감염시킵니다. 파일이 암호화 되면, 이 랜섬웨어는 윈도우 바탕화면과 다양한 폴더에 랜섬노트를 생성합니다. 보안 연구원인 Michael Gillespie는 이 랜섬웨어에 암호화 된 파일들을 복호화할 수 있는 툴을 개발해 공개했습니다. 이 복호화 툴은 암호화 된 파일에 아래 확장명을 붙이는 버전을 지원합니다:..

국내외 보안동향 2019. 1. 7. 10:37

안녕하세요? 이스트시큐리티입니다. 드디어 2019년 새해가 밝았습니다. 새해를 맞아 알약M이 좋은 소식을 갖고 찾아왔는데요. 바로 많은 사용자분들이 원하셨던 '페이스북 메신저' 파일 정리 기능을 이번 버전부터 지원한다는 사실! (짝짝짝) 한 번도 안 써본 분은 있어도, 한 번만 쓰는 사용자는 없다는 알약M의 '메신저 파일 정리' 기능은 하루에도 몇 번씩 메신저앱으로 미디어파일을 주고받는 동안 나도 모르게 쌓이는 캐시파일들을 정리해 스마트폰 용량과 속도를 올려주는 기특한 기능이랍니다. 지워도 지워도 용량이 부족하다면? 해답은 메신저 파일 정리! 내 스마트폰으로 함께 찍은 셀카, 지금 먹고 있는 음식 사진, 아이의 학예회 동영상 등 가족과 친구들에게 시시때때로 사진과 동영상을 공유하는데요, 이렇게 사진과 동..

안전한 PC&모바일 세상/PC&모바일 TIP 2019. 1. 4. 17:58

[1월 첫째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 택배 2 [Web발신][CJ대한통운]???12월29일택배주소를찾을수없음주소변경.> 3 [CJ대한/통운].고객님 택배가 반송처리/상세주소다시확인주세요 출처 : 알약M기간 : 2018년 12월 31일 ~ 2019년 1월 4일

안전한 PC&모바일 세상/스미싱 알림 2019. 1. 4. 14:53

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 2019년 01월 03일 '190101-신년사_평가.hwp' 문서내용을 보여주는 APT 공격이 발견되었습니다. 이 공격조직이 사용한 기법을 분석할 결과 2014년 한수원 공격에 사용된 코드와 유사한 것으로 확인되었습니다. 해당 위협조직은 얼마전 "작전명 블랙 리무진(Operation Black Limousine)"으로 대남 사이버공격을 수행한 바 있으며, 2018년 12월 말에는 탈북민 관련 사항으로 문서파일 취약점 기반 공격을 수행하기도 했습니다. 이번 악성코드가 사용한 문서의 타이틀에는 '2019년 북한 신년사 평가' 문구를 가지고 있으며, 마치 정부기관 문건처럼 보이는 내용도 존재합니다. ..

악성코드 분석 리포트 2019. 1. 3. 17:51