안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 공정거래위원회를 사칭한 악성 메일로 소디노키비(Sodinokibi) 랜섬웨어가 유포되고 있어 이용자들의 주의를 당부드립니다. 이번에 발견된 공정거래위원회 사칭 악성메일은 '전자상거래에 대한 위반행위 조사통지서' 내용을 담고 있습니다. 또한 메일 본문 하단에 '붙임. 전산 및 비전산 자료 보존요청서 1부' 내용으로 첨부 파일 확인을 유도합니다. [그림 1] '전자상거래 위반행위 관련 조사통지서'로 위장한 악성 메일 실제 첨부파일 '전산 및 비전산자료 보존 요청서.egg'에는 2개의 PDF 파일로 위장한 악성 실행파일이 들어 있으며, 두 파일은 모두 긴 공백을 삽입하여 실행 파일(EXE)인 것을 속이려고 시도 하였습니다. [그림 2] PDF ..

악성코드 분석 리포트 2019. 7. 11. 09:53

Rig Exploit Kit Pushing Eris Ransomware in Drive-by Downloads RIG 익스플로잇 키트가 새로운 ERIS 랜섬웨어를 배포하고 있는 것으로 드러났습니다. 피해자들은 단순히 웹사이트를 방문하는 것만으로 자신도 모르는 사이 ERIS 랜섬웨어가 시스템에 설치될 수 있습니다. ※ Drive-by download(드라이브 바이 다운로드) 기법이란? 사용자가 이메일에 포함된 URL 주소를 클릭하거나 특정 웹사이트에 접속하였을 때, 사용자도 모르게 악성 소프트웨어가 사용자의 디바이스에 다운로드 되도록 만드는 해킹 기법 ERIS 랜섬웨어는 2019년 ID Ransomware 사이트에 등록되어 발견되었지만, 당시 샘플은 구할 수 없었습니다. 지난 주말, 익스플로잇 키트 연구원..

국내외 보안동향 2019. 7. 10. 11:40

안녕하세요? 이스트시큐리티입니다. 이스트시큐리티가 2019년 7월, 8번째 정보보호의 달을 맞아 '알약과 함께 보안관리 점검하기' 캠페인으로 돌아왔습니다! 일상생활, 업무 등에서 여러 IT 기기들을 활용하는 요즘, 간단한 설문을 통해 함께 보안관리를 점검해보시고, 총 200분[!]께 드리는 카카오 이모티콘의 기회를 놓치지 마시기 바랍니다. ※ 매년 7월은 정부에서 제정한 '정보보호의 달', 7월 둘째 수요일은 '정보보호의 날'입니다. 캠페인 기간· 2019년 7월 10일(수) ~ 2019년 7월 24일(수) 23:59 참여 경품 · 옴팡지게 귀여워 옴팡이 카카오 이모티콘 무조건 선착순 100명! · 옴팡지게 귀여워 옴팡이 카카오 이모티콘 추첨으로 100명 더! 참여 방법 · 아래 링크에서 설문조사 제출 ..

이스트시큐리티 소식 2019. 7. 10. 10:13

New LooCipher Ransomware Spreads Its Evil Through Spam LooCipher라 명명된 새로운 랜섬웨어가 사용자를 감염시키는 실제 공격에 활발히 악용되고 있다는 사실이 발견되었습니다. 해당 랜섬웨어가 어떻게 배포되는지는 확실히 밝혀지지 않았으나, 지금까지 발견된 파일로 미루어 볼 때 스팸 캠페인을 통해 유포되는 것으로 판단됩니다. LooCipher는 보안 연구원인 Petrovic이 최초로 발견했습니다. 악성 문서를 통해 배포되는 LooCipher 연구원들은 어떤 피싱 캠페인을 통해 랜섬웨어가 배포되는지는 밝히진 못했으나, 악성 워드 문서인 "Info_BSV_2019.docm"를 통해 유포된다는 사실을 발견했습니다. 사용자가 해당 악성 문서를 클릭하면, 아래와 같이 매..

국내외 보안동향 2019. 6. 25. 10:19

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 '형사 사건번호'라는 제목으로 헌법 재판소를 사칭한 피싱 메일이 유포되고 있습니다. [그림 1] 헌법 재판소로 사칭한 피싱 메일 이 피싱 메일은 사건과 관련된 모든 자료를 함께 동봉했다며 사용자가 첨부된 파일(Documents.zip)을 실행하도록 유도합니다. 첨부 파일에는 난독화된 자바스크립트 파일 ‘Korea Criminal Case #521.js’, ‘Korean Constitutional Court #143.js’(Trojan.JS.Ransom.A)을 포함하고 있으며, 자바스크립트 파일을 실행할 경우 최종적으로 ‘Trojan.Ransom.VegaLocker’(이하 ‘VegaLocker’) 랜섬웨어에 감염됩니다. VegaLock..

악성코드 분석 리포트 2019. 6. 21. 08:15

A free Decryptor tool for GandCrab Ransomware released 갠드크랩(GandCrab) 최신 변종에 감염된 피해자들에게 좋은 소식이 있습니다. NoMoreRansomware가 갠드크랩 최신 버전용 무료 복호화 툴을 공개했습니다. 갠드크랩 최신 변종의 피해자들은 NoMoreRansom 웹사이트에 공개된 무료 복호화 툴을 통해 돈을 지불하지 않고도 파일을 복호화할 수 있게 되었습니다. 이 툴은 갠드크랩 버전 1, 4, 그리고 5~5.2로 암호화 된 파일에 사용할 수 있습니다. 유로폴은 이에 대해 아래와 같이 공지했습니다. "6월 17일, 갠드크랩 랜섬웨어 패밀리의 최신 버전용 새로운 복호화 툴이 www.nomoreransom.org에 무료로 공개되었습니다. 이 툴을 이용..

국내외 보안동향 2019. 6. 18. 14:43

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 6/12 오후부터 NH농협은행 보안팀에서 보낸 메일처럼 위장한 피싱메일이 시중에 대량으로 유포되고 있어 사용자 여러분의 주의가 필요합니다. 피싱메일 분석한 결과, 리플라이 오퍼레이터 그룹에서 유포한 것으로 확인되었으며, 기존의 '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등 공공기관에서 보낸 것처럼 사용자를 속이던 방식에서 최근에는 금융회사를 사칭해 랜섬웨어를 유포하는 방향을 선호하는 것으로 보입니다. [그림 1] NH농협은행을 사칭한 피싱메일 시중에 유포되고 있는 피싱 메일은 NH농협 보안팀이 보낸 것으로 되어 있고 신뢰도를 높이기 위해 직원 이름 역시 사용하고 있습니다. 이 직원 이름은 실제 NH농협 ..

악성코드 분석 리포트 2019. 6. 14. 22:50

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 토렌트 파일로 위장한 악성 파일이 발견되었습니다. 해당 파일은 최근 이슈였던 어벤저스 엔드게임 파일인 것처럼 위장하여 사용자를 속였습니다. ESRC에서는 어벤저스 엔드게임 영화가 영화관에서 내려가는 시점에서 영화를 보고 싶은 사용자들이 토렌트로 영상을 검색할 것을 염두 해 해당 피싱 파일을 유포한 것으로 추측하고 있습니다. 이번에 발견된 악성 파일은 "Avengers Endgame.2019-1080p.FHDRip.H264.AAC-RTM rcs.torrent"라는 이름으로 유포되었으며, torrent 파일인 것처럼 위장했지만 실제로는 악성 실행파일입니다. [그림 1] 토렌트 파일을 사칭한 악성 실행파일 공격자는 유니코드 확장자 변조 기능(RTLO..

악성코드 분석 리포트 2019. 6. 12. 14:26