안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 공문을 사칭한 악성 메일이 지속적으로 유포중에 있어 사용자들의 주의가 필요합니다. [그림1] '전자상거래 위반행위 조사통지서'를 위장한 악성 메일 이번에 발견된 악성 메일은 '전자상거래 위반행위 조사통지서'를 위장하고 있으며, 메일 본문에는 실제로 공정거래위원회가 발송한것처럼 위장된 내용이 포함되어 있습니다. [그림2] 악성메일에 포함되어 있는 첨부파일 해당 악성 메일에 첨부되어 있는 압축파일 안에는 한글파일(.hwp)을 위장한 실행파일(.exe) 두개가 포함되어 있습니다. 사용자가 만약 첨부되어 있는 압축파일 내 파일을 실행하면 Nemty 랜섬웨어에 감염되게 됩니다. 알약에서는 현재 해당 랜섬웨어에 대하여 Trojan.Ransom.Nemty로..

악성코드 분석 리포트 2019. 11. 13. 13:22

New Megacortex Ransomware Changes Windows Passwords, Threatens to Publish Data Megacortex 랜섬웨어의 새로운 버전이 발견되었습니다. 이 새로운 버전은 파일을 암호화할 뿐만 아니라 로그인된 사용자의 비밀번호까지 변경하고 랜섬머니를 지불하지 않을 경우 피해자의 파일을 공개한다는 협박까지 합니다. MegaCortex는 Emotet과 같은 악성코드가 제공하는 네트워크 접근 권한을 통해 설치되는 타깃형 랜섬웨어입니다. MegaCortex 운영자가 시스템 접근 권한을 획득하면, Active 디렉터리 컨트롤러나 post-exploitation 키트를 통해 네트워크 상의 시스템에 랜섬웨어를 유포합니다. 새로운 MegaCortex 버전의 특징 이번에 ..

국내외 보안동향 2019. 11. 7. 15:15

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 금일 AnteFrigus 이름을 가진 새로운 랜섬웨어가 발견되었습니다. [그림1] AnteFrigus 랜섬노트 랜섬노트 파일명과 랜섬노트 내용 등 AnteFrigus 랜섬웨어의 랜섬노트는 Sodinokibi 랜섬노트와 매우 유사한 특징을 갖고 있습니다. [그림2] AnteFrigus 랜섬웨어 랜섬노트 및 Sodinokibi 랜섬노트 비교 현재까지 AnteFrigus 랜섬웨어의 유포방법은 아직 정확히 밝혀지지 않았습니다. 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.AnteFrigus 로 탐지중에 있으며, sodinokibi 랜섬웨어와 antefrigus 랜섬웨어의 연관관계에 대해 지속적으로 추적할 예정입니다. 해당 랜섬웨어에 대해 ..

악성코드 분석 리포트 2019. 11. 7. 11:07

Everis and Spain’s radio network Cadena SER hit by ransomware 스페인 최대 IT 컨설팅 회사인 Everis가 랜섬웨어에 감염된 것으로 나타났습니다. 스페인 최대 라디오 스테이션인 Cadena SER 또한 유사한 공격에 피해를 입었습니다. 회사는 어떤 랜섬웨어의 공격을 받았는지 공개하지 않았으나, Bleeping Computer에서 랜섬노트를 확인한 결과 BitPaymer 랜섬웨어에 감염된 것으로 확인되었습니다. 공격이 시작된 후, Everis는 내부에 “Everis 네트워크가 대규모 바이러스 공격을 받고 있습니다. PC를 꺼 주시기 바랍니다. 클라이언트와 오피스 간의 네트워크 연결이 끊어진 상태입니다. 계속해서 상황을 업데이트해 드리도록 하겠습니다. 팀과 ..

국내외 보안동향 2019. 11. 6. 13:28

Emsisoft released a free decryption tool for Paradise ransomware Emsisoft의 보안 연구원들이 Paradise 랜섬웨어로 암호화된 파일을 복호화할 수 있는 툴을 개발했습니다. Paradise 랜섬웨어는 사용자의 중요 파일을 암호화하고 파일 확장자를 .paradise, .2ksys19, .p3rf0rm4, .FC 중으로 변경합니다. 시스템 운영에 필요한 일부 파일을 제외하고 확장자 상관없이 모든 파일을 암호화하기 때문에 감염되면 큰 피해를 입을 수 있으므로 사용자의 주의가 필요합니다. 현재 Paradise랜섬웨어의 복호화툴은 여기서 다운로드 할 수 있습니다. 출처 : https://securityaffairs.co/wordpress/93192/malw..

국내외 보안동향 2019. 10. 31. 16:17

안녕하세요.이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019/10/29) 오전부터 경력직 입사지원서로 위장한 Nemty Revenge 2.0 랜섬웨어가 대량으로 유포중인 정황이 확인되었습니다. 유포중인 입사지원서 위장메일은 대부분 지원자 이름을 메일 제목으로 하고 있습니다. [그림 1] 입사지원자 이름으로 위장한 악성메일 1 [그림 2] 입사지원자 이름으로 위장한 악성메일 2 이 외에도 다양한 이름의 입사지원자 이름을 제목으로 사용한 메일이 유포되고 있습니다. 경력직 입사지원서로 위장한 악성메일 캠페인은 비너스락커(Venus)조직의 수행으로 추정되며, 최근에도 입사지원서를 위장하여 Nemty 랜섬웨어를 유포한 케이스가 존재합니다. 또한 바로 몇주전에는 '공정거래위원회'를 사칭하여 악성메일을 ..

악성코드 분석 리포트 2019. 10. 29. 15:09

Emsisoft released a free decryption tool for the STOP (Djvu) ransomware STOP (Djvu) 랜섬웨어는 변종이 160개 이상이나 되며 전 세계 수 십만 피해자를 감염시켰습니다. 전문가들은 피해자 수를 총 460,000명으로 추정했습니다. 이로써 이 랜섬웨어는 오늘날 가장 활동적이며 광범위하게 활동하는 랜섬웨어가 되었습니다. Emsisoft의 랜섬웨어 통계 보고서 2019년 2,3 분기 자료에 따르면 전 세계에서 접수 된 랜섬웨어 감염 신고 중 절반 이상이 Djvu 랜섬웨어였습니다. 이 복호화 툴은 최초로 랜섬웨어의 키스트림에 사이드 채널 공격을 가했습니다. “랜섬웨어의 키스트림에 사이드 채널 공격을 가해 STOP의 암호화를 깨트릴 것입니다. 우리가..

국내외 보안동향 2019. 10. 21. 16:49

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 갠드크랩 4.1 버전에서 사용된 이미지를 동일하게 사용한 랜섬웨어가 발견되었습니다. 이 이미지는 다음과 같이 러시아 대통령과 러시아 문구가 삽입되어 있습니다. Nemty 랜섬웨어는 주로 입사 지원서를 위장한 메일로 유포되며, 파일명에 긴 공백을 넣어 PDF 파일인 것처럼 위장해 사용자를 속이는 것이 특징입니다. [그림] 암호화 완료 화면 현재 알약에서는 해당 악성 코드를 ‘Trojan.Ransom.Nemty’ 탐지 명으로 진단하고 있으며, 관련 상세 분석보고서는 Threat Inside 웹서비스 구독을 통해 확인이 가능합니다.

악성코드 분석 리포트 2019. 10. 21. 15:40