안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 6/12 오후부터 NH농협은행 보안팀에서 보낸 메일처럼 위장한 피싱메일이 시중에 대량으로 유포되고 있어 사용자 여러분의 주의가 필요합니다. 피싱메일 분석한 결과, 리플라이 오퍼레이터 그룹에서 유포한 것으로 확인되었으며, 기존의 '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등 공공기관에서 보낸 것처럼 사용자를 속이던 방식에서 최근에는 금융회사를 사칭해 랜섬웨어를 유포하는 방향을 선호하는 것으로 보입니다. [그림 1] NH농협은행을 사칭한 피싱메일 시중에 유포되고 있는 피싱 메일은 NH농협 보안팀이 보낸 것으로 되어 있고 신뢰도를 높이기 위해 직원 이름 역시 사용하고 있습니다. 이 직원 이름은 실제 NH농협 ..

악성코드 분석 리포트 2019. 6. 14. 22:50

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 토렌트 파일로 위장한 악성 파일이 발견되었습니다. 해당 파일은 최근 이슈였던 어벤저스 엔드게임 파일인 것처럼 위장하여 사용자를 속였습니다. ESRC에서는 어벤저스 엔드게임 영화가 영화관에서 내려가는 시점에서 영화를 보고 싶은 사용자들이 토렌트로 영상을 검색할 것을 염두 해 해당 피싱 파일을 유포한 것으로 추측하고 있습니다. 이번에 발견된 악성 파일은 "Avengers Endgame.2019-1080p.FHDRip.H264.AAC-RTM rcs.torrent"라는 이름으로 유포되었으며, torrent 파일인 것처럼 위장했지만 실제로는 악성 실행파일입니다. [그림 1] 토렌트 파일을 사칭한 악성 실행파일 공격자는 유니코드 확장자 변조 기능(RTLO..

악성코드 분석 리포트 2019. 6. 12. 14:26

GandCrab operators are shutting down their operations 2018년 초 처음 등장하여 지속적으로 발전을 거듭해온 갠드크랩(GandCrab) 랜섬웨어의 운영자들이, 갠드크랩 운영을 중단할 것이라 밝혔습니다. 사이버 보안 회사인 LMNTRIX는 2018년 초 새로운 서비스형 랜섬웨어인 GandCrab을 발견했습니다. 이는 다크웹의 러시안 해킹 커뮤니티에서 홍보되고 있었으며, RIG 및 GrandSoft 익스플로잇 키트를 사용해 악성코드를 배포했습니다. 약 1년이 넘는 기간 동안 갠드크랩 운영자들은 수많은 기능을 갖춘 여러 갠드크랩 버전을 공개했지만, 이제는 운영을 중단하고 협력자들에게 랜섬웨어 배포를 중단할 것을 요청했습니다. 2018년 10월, Cybaze Z-Lab..

국내외 보안동향 2019. 6. 3. 16:26

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 31일), 사용자의 이메일 주소가 스팸하우스 블랙리스트에 올라갔다는 내용의 피싱 메일이 유포되고 있습니다. 스팸하우스는 스팸과 피싱, 맬웨어, 봇넷 등 관련 사이버 위협을 추적하고, 실시간으로 위협 및 평판 차단 목록을 제공하는 국제 비영리 단체입니다. 또한 ESRC에서는 이번에 포착된 피싱 메일은 신종 랜섬웨어 'Sodinokibi'를 감염자 PC에 다운로드하고 실행시키며, 리플라이 오퍼레이터 그룹이 유포한 것으로 확인되었습니다. [그림 1] 스팸하우스 블랙리스트 피싱 메일 화면 금일 발견된 피싱 메일은 다양한 문구의 메일 제목으로 유포되었으며, 사용자의 메일이 스팸처리되었다는 내용을 담고 있습니다. [그림 2] 다양한..

악성코드 분석 리포트 2019. 5. 31. 14:08

Hackers are scanning for MySQL servers to deploy GandCrab ransomware 중국 해킹 그룹이 사용자 기기를 갠드크랩(GandCrab) 랜섬웨어에 감염시키기 위해 인터넷에서 MySQL 데이터베이스를 실행 중인 윈도우 서버를 스캐닝 중인 것으로 나타났습니다. Sophos의 수석 연구원인 Andrew Brandt는 허니팟 로그에서 이러한 새로운 공격을 발했습니다. 해커들, 얻을 것이 많은 노출된 MySQL DB 노려 해커들은 인터넷에서 접근 가능한 SQL 명령을 허용하는 MySQL 데이터베이스를 스캔한 후, 서버가 윈도우 환경에서 실행되는지 확인합니다. 그런 다음, 악성 SQL 명령을 사용하여 노출된 서버에 갠드크랩 랜섬웨어를 실행시키는 악성 파일을 심습니다. ..

국내외 보안동향 2019. 5. 28. 13:40

Shade Ransomware Expands to U.S. Targets 러시아 사용자들을 노리는 것으로 알려진 Shade 랜섬웨어가 미국, 일본을 포함한 새로운 지역을 노리는 것으로 최근 여러 캠페인에서 발견되었습니다. 카스퍼스키랩 연구소가 2014년 후반에 처음으로 발견한 이 랜섬웨어는 러시아 사용자들만을 노리는 것으로 알려졌었습니다. 하지만 최근 발견된 사이버 공격에서 Shade 랜섬웨어는 러시아가 아닌 다른 국가의 사용자를 노리고 있었습니다. Palo Alto Networks Unit 42그룹의 연구원인 Brad Duncan은 Shade 랜섬웨어에 영향을 받은 상위 국가 5곳은 러시아나 구 소련 국가가 아니라고 밝혔습니다. 그러면서 Shade 랜섬웨어에 영향을 받은 상위 TOP 5 국가는 미국, ..

국내외 보안동향 2019. 5. 27. 10:07

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 22일), '헌법 재판소 전화', '헌법 재판소 청문 의제' 등의 제목으로 헌법 재판소를 사칭한 피싱 메일이 유포되고 있습니다. 이번에 포착된 피싱 메일은 신종 랜섬웨어 'Sodinokibi'를 감염자 PC에 다운로드하고 실행시키며, 리플라이 오퍼레이터 그룹이 유포한 것으로 확인되었습니다. [그림 1] 헌법 재판소를 사칭한 피싱 메일 화면 피싱 메일에는 '법원 서류.zip'라는 압축 파일(.zip)이 첨부되어 있습니다. 해당 메일을 받은 사용자가 법원 서류인 것으로 착각해 압축을 해제하면, '연락처 세부 정보.doc', '사건에 관한 서류.doc'라는 MS Word 문서(.doc)를 위장한 악성 링크 파일(.lnk)이 들..

악성코드 분석 리포트 2019. 5. 22. 15:57

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 PC 악성코드의 대부분은 랜섬웨어이며 복호화 대가로 암호화폐를 요구하고 있습니다. 이러한 흐름이 안드로이드에서도 빈번하게 나타나기 시작했습니다. 관련 앱은 기기 정보를 탈취하여 감염자를 구별하는 데 사용합니다. 외부 저장소의 폴더와 파일을 가리지 않고 저장된 모든 파일을 암호화합니다. 또한, 연락처도 암호화합니다. 이때 암호화에 사용되는 알고리즘은 AES이며 키값은 해커의 C&C를 통해서 얻어옵니다. 암호화폐를 이용하여 비용을 지불하면 복호화가 진행됩니다. 본 분석 보고서에서는 'Trojan.Android.Locker'를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 게임 앱 위장해당 악성 앱의 아이콘은 전 세계적으로 인기를 끈 ..

악성코드 분석 리포트 2019. 5. 22. 11:17