안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 ESRC에서는 "(이름) 지원서"로 위장하여 Nemty 랜섬웨어를 유포하는 악성 캠페인 정황을 포착하였습니다. [그림 1] "(이름) 지원서"로 위장한 악성 메일 금일 지원서를 위장한 악성 메일 유포는 비너스락커(VenusLocker) 조직의 수행으로 추정하고 있으며, 이전에도(9/11) 비너스락커 조직은 Nemty 랜섬웨어를 유포한 바가 있습니다. ※ 관련글 바로가기 ▶ 비너스락커 조직, 입사지원서를 위장한 메일로 랜섬웨어 'Nemty' 유포 중! (2019.09.11)▶ 비너스락커 조직, 새로운 랜섬웨어 'Nemty' 유포 시작 (2019.08.27) 이번에 발견된 스팸 캠페인은 한메일 계정을 통해 발송되었으며, 기존에 발견된 메일과 ..

악성코드 분석 리포트 2019. 9. 23. 13:47

TFlower Ransomware - The Latest Attack Targeting Businesses 해커들이 노출된 원격 데스크톱 서비스를 해킹한 후 기업 환경을 노리는 최신 랜섬웨어인 TFlower를 설치하고 있는 것으로 나타났습니다. 랜섬웨어 개발자들이 기업과 정부 기관을 공격한 사례에서 막대한 돈을 벌었기 때문에 이를 타깃으로 하는 새로운 랜섬웨어가 개발된 것입니다. 8월 초 해커들은 TFlower 랜섬웨어를 실제 공격에 사용했습니다. 당시에는 보통의 랜섬웨어인 것으로 추측되었으나, 사고 대응을 진행했던 한 업체는 TFlower가 더욱 강해지고 있다고 밝혔습니다. RDP를 통한 접근 해커들은 노출된 원격 데스크톱 서비스를 해킹하여 기업 네트워크에 TFlower를 설치하고 있었습니다. 기기 침..

국내외 보안동향 2019. 9. 18. 10:24

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 구직/채용 지원서로 위장하여 Nemty 랜섬웨어를 유포하는 시도가 계속 발생하고 있습니다. [그림 1] 구직/채용 지원서로 위장한 악성메일 ESRC에서는 비너스락커 조직의 수행으로 추정하고 있으며, 비너스락커 조직은 8/27일 처음으로 신규 랜섬웨어인 Nemty를 유포한 바가 있습니다. ※ 관련글 바로가기 ▶ 비너스락커 조직, 새로운 랜섬웨어 'Nemty' 유포 시작 (2019.08.27) 이번에 발견된 스팸 캠페인 역시 이전과 동일하게 네이버 메일 계정을 통해 발송했습니다. 메일 내용은 입사지원서로 꾸몄습니다. 메일의 첨부파일은 7zip 형식으로 압축되어 있고, 압축파일 내부에는 PDF 문서로 위장한 악성 EXE 랜섬웨어가 포함되어 있습..

악성코드 분석 리포트 2019. 9. 11. 14:00

Lilocked Ransomware Actively Targeting Servers and Web Sites 서버를 공격하고, 저장된 데이터를 암호화하는 새로운 랜섬웨어가 발견되었습니다. 이 랜섬웨어를 두고 개발자들은 Lilu로, 연구원들은 Lilocked라 이름 붙였습니다. 확인된 감염 서버들은 모두 웹사이트로 구글 검색 결과에 암호화된 파일이 노출되고 있습니다. 이 랜섬웨어는 지난 7월 26일 보안 연구원인 Michael Gillespie가 ID Ransomware 사이트에 올라온 샘플을 확인하면서 발견되었습니다. 또 다른 보안 연구원인 Benkow는 해당 랜섬웨어를 발견하고 트위터에 공개했습니다. 구글에서는 이 랜섬웨어로 암호화되고 ".lilocked" 확장자가 붙은 파일이 있는 웹 서버에 대한 검..

국내외 보안동향 2019. 9. 9. 11:37

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 랜섬웨어 수가 급증하면서 파일을 암호화 하는 대신 파일의 데이터를 삭제하는 악성코드 유형이 발견되었습니다.‘GermanWiper’라 불리는 이 악성코드는 대부분 랜섬웨어와 동일한 증상을 보입니다. 제외 확장자 및 문자열이 존재하고 복호화를 위한 랜섬노트를 생성하거나 바탕화면도 변경합니다. 하지만 파일 암호화 대신 파일의 데이터를 ‘0’으로 덮어 씌운다는 점에서 기존 랜섬웨어와 차이점이 있다. 데이터가 파괴된 파일은 랜섬웨어와 마찬가지로 임의의 확장자가 추가됩니다. 따라서 본 보고서에서는 파일 암호화를 위장한 ‘Trojan.Ransom.Filecoder’에 대해 상세 분석하고자 합니다. 악성코드 상세 분석 1. 프로세스 인젝션공격자는 ..

악성코드 분석 리포트 2019. 8. 26. 13:00

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 유포되는 Sodinokibi 랜섬웨어 에 한가지 큰 변화가 생겼습니다.랜섬웨어에 감염되었을때 바뀌는 바탕화면 이미지와 랜섬노트에 기존 영어 메시지 외에 한국어 메시지와 중국어 메시지가 추가되었다는 부분입니다. 이달 초인 2019년 8월 5일에 유포된 Sodinokibi 랜섬웨어를 보면 감염시 변경되는 바탕화면 이미지와 랜섬노트 메시지에 영어로 작성된 내용만 있다는 것을 확인할 수 있습니다. [그림 1] 2019년 8월 5일에 유포된 Sodinokibi 랜섬웨어에 감염된 바탕화면 이미지 [그림 2] 2019년 8월 5일에 유포된 Sodinokibi 랜섬웨어의 랜섬노트 그러나, 8월 21일에 유포된 Sodinokibi 랜섬웨어를 살펴보면 랜섬노..

악성코드 분석 리포트 2019. 8. 21. 17:19

Canon DSLR Cameras Can Be Hacked With Ransomware Remotely 공격자들이 컴퓨터를 넘어 스마트폰 및 인터넷에 연결된 다른 스마트 기기들을 노리고 있습니다. 랜섬웨어의 위협은 더욱 심각해지고 있습니다. CheckPoint의 보안 연구원들은 최근 연구를 통해 해커가 원격으로 DSLR 카메라를 랜섬웨어에 감염시키는 방법을 시연했습니다. 이 공격은 피해자들이 랜섬머니를 지불하기 전까지 개인 사진 및 영상에 접근하지 못하도록 막을 수 있습니다. Eyal Itkin 보안 연구원은 캐논 카메라의 펌웨어에서 USB 및 Wi-Fi를 통해 악용 가능한 보안 취약점 다수를 발견했습니다. 공격자는 해당 취약점을 통해 카메라 및 기능을 제어할 수 있습니다. Canon 측이 공개한 보안 ..

국내외 보안동향 2019. 8. 13. 11:22

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019.08.12) 비너스락커(VenusLocker) 조직이 입사지원서를 사칭한 악성 메일을 유포하고 있는 정황이 확인되어 이용자들의 각별한 주의를 당부드립니다. 비너스락커 조직은 과거에는 구글 지메일이나 실제 호스팅을 구축해서 메일을 보냈는데, 최근에는 KT 등 한국 아이피에서 발송하고 있습니다. [그림 1] 입사지원서'로 위장한 악성 메일 이번에 발견된 악성 메일은 8/5일 발견된 입사지원서 사칭 메일과 비슷한 내용으로 유창한 한글 표기법으로 작성되었으며, 실제 입사지원서 메일 제목 양식처럼 "회사명_직무(이름)"으로 작성되었습니다. 이메일 본문을 살펴보면 마침표를 안 쓰는 특성을 확인할 수 있습니다. 또한 메일에 첨부된 압축 파일은..

악성코드 분석 리포트 2019. 8. 12. 13:29