안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 상반기, 클롭 랜섬웨어를 국내 기업에 대량으로 유포한 이후 지금까지 꾸준히 국내 기업들을 상대로 사이버 공격을 진행하고 있는 TA505조직이 공격을 재개하였습니다. 어제(17일)부터 재개된 TA505 조직의 공격은 금일(18일)까지 이어지고 있습니다. ▶ TA505조직, 악성 이메일을 활용해 한국 공격 재개 금일 발생한 공격들의 특징은 오전 10시 이전에 이메일을 발송하였으며, 일부의 경우 10월 급여명세서라는 제목으로 유포하므로써 감염률을 높이려고 시도하였습니다. [그림1] 견적서로 위장한 악성 메일 [그림 2] 급여명세서로 위장한 악성메일 및 악성파일 실행 과정 공격 방식은 어제와 동일하게 악성 매크로가 포함된 xls 파일이 첨부되어 있거나..

악성코드 분석 리포트 2019. 10. 18. 11:09

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019/09/05) ESRC에서는 견적서 검토를 요청하는 메일로 속인 악성 피싱 메일이 포착하였습니다. [그림 1] 견적서 검토를 사칭한 피싱 메일 메일에 첨부된 zip 파일을 다운로드해 열어보면, 인터넷 웹 페이지 파일 유형인 htm 파일이 들어 있는 것을 확인하실 수 있습니다. Filename MD5 PO190988765.htm 39578968CD2C3271D1A44E4FD893B11B DWG.htm 39578968CD2C3271D1A44E4FD893B11B 사용자가 해당 파일을 견적서와 관련된 파일로 착각해 클릭하면 국내 유명 포털의 로그인 화면으로 꾸민 피싱 사이트로 이동됩니다. [그림 2] 국내 유명 포털의 로그인 화면으로 위장..

악성코드 분석 리포트 2019. 9. 5. 15:15

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 (2019년 06월 03일), TA505 그룹이 악성 HTML 파일을 포함한 피싱 메일이 대량으로 유포하고 있어 사용자들의 주의가 필요합니다. 금일 발견된 악성 피싱 메일은 중소기업을 사칭한 거래 내역서, 견적서, 영수증 등의 다양한 내용을 담고 있으며, HTML 또는 HTM 파일을 첨부했습니다. [그림 1] TA505 그룹이 유포한 다양한 악성 피싱 메일 악성 피싱 메일에 첨부된 html 및 htm 파일은 "2019+MM+DD_랜덤숫자 6자리" 형태이며, 해당 HTML 파일을 확인해 보면 아래와 같은 경로에서 악성 Excel 파일을 다운로드하는 것을 알 수 있습니다. [그림 2] 악성 Excel 파일 다운로드 경로 사용자가 다운로드 된 ..

악성코드 분석 리포트 2019. 6. 3. 11:32

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 견적서 관련 내용의 악성 메일이 또 다시 발견되었습니다. 이번에 발견된 악성 메일들은 다양한 형태로 작성되어 유포되었으나, 내용은 모두 견적서 메일로 위장하고 있습니다. [그림 1] 다양한 형태의 견적서 악성메일 첨부되어 있는 zip 혹은 ace 파일에는 악성 exe 파일들이 포함되어 있으며, 일부의 경우 doc 파일들도 포함되어 있습니다. [그림 2] 악성메일에 포함된 첨부파일 악성 메일들의 내용이나 첨부 파일들의 형태는 각기 달랐지만, 실제 분석해본 결과 C&C 정보와 드롭되는 파일 이름만 다른 동일한 코드임이 확인되었습니다. 사용자가 자세한 정보를 열람하기 위해 악성 파일들을 실행할 경우, %TEMP% 경로에 특정 이름의 폴더를 생성하고,..

악성코드 분석 리포트 2018. 10. 30. 14:47