안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 특정 글로벌 물류 회사를 사칭해 Sodinokibi 랜섬웨어를 유포하는 악성 이메일 공격이 확인되고 있습니다. [그림 1] 글로벌 물류 회사를 사칭한 악성 이메일 악성 이메일에는 요청한 물품이 세관 신고서에 배송 주소를 식별할 수 없기 때문에 배송할 수 없다며 첨부된 세관 서류를 수정해 줄 것을 요구하고 있습니다. 메일 본문 내용은 어색한 표현들이 있긴 하나 매끄러운 편이며, 사칭한 글로벌 물류 회사의 이미지를 사용해 해당 회사에서 실제로 발송된 것처럼 사용자를 속이려 시도했습니다. 하지만 사용자가 메일에 첨부되어 있는 '세관 서류.zip' 압축파일을 해제하면, 'DHL 세관 신고서.doc.exe'라는 MS Word 문서파일을 위장한 실행 ..

악성코드 분석 리포트 2019. 9. 25. 10:42

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 지난주 금요일(8/23)부터 특정기관을 타깃으로 하는 시중은행 사칭 악성 이메일 공격이 확인되고 있습니다.해당 이메일의 첨부파일을 실행하면 Sodinokibi 랜섬웨어에 감염되므로 주의가 필요합니다. 공격자는 한국의 시중은행을 사칭한 메일로 타깃을 노렸으며, '우리_은행.zip', '지불-세부-사항.zip' 등의 압축파일이 첨부되어 있습니다. 실제 공격에 사용된 이메일 화면을 보면, 국내 특정 은행명과 이미지로 이용자들을 현혹하고 있어, 실제 사례를 기억하여 유사한 위협에 노출되지 않도록 해야합니다. [그림 1] 우리은행을 사칭하여 공격자가 특정 타깃에게 발송한 악성 이메일 작성되어 있는 이메일 본문 내용은 다음과 같습니다. 온라인 은행 알림이것..

악성코드 분석 리포트 2019. 8. 26. 10:24

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 31일), 사용자의 이메일 주소가 스팸하우스 블랙리스트에 올라갔다는 내용의 피싱 메일이 유포되고 있습니다. 스팸하우스는 스팸과 피싱, 맬웨어, 봇넷 등 관련 사이버 위협을 추적하고, 실시간으로 위협 및 평판 차단 목록을 제공하는 국제 비영리 단체입니다. 또한 ESRC에서는 이번에 포착된 피싱 메일은 신종 랜섬웨어 'Sodinokibi'를 감염자 PC에 다운로드하고 실행시키며, 리플라이 오퍼레이터 그룹이 유포한 것으로 확인되었습니다. [그림 1] 스팸하우스 블랙리스트 피싱 메일 화면 금일 발견된 피싱 메일은 다양한 문구의 메일 제목으로 유포되었으며, 사용자의 메일이 스팸처리되었다는 내용을 담고 있습니다. [그림 2] 다양한..

악성코드 분석 리포트 2019. 5. 31. 14:08

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 (2019년 05월 29일), '정리 해고 및 감면 목록'이라는 자극적인 메일 제목으로, 악성 파일을 포함한 피싱 메일이 유포되고 있어, 사용자들의 각별한 주의가 필요합니다. [그림 1] 해고 안내를 위장한 악성 피싱 메일 ESRC에서는 리플라이 오퍼레이터 조직이 해당 피싱 메일을 유포한 것으로 추정하고 있으며, 리플라이 오퍼레이터 조직은 지난 5월 28일에도 비슷한 유형의 악성 파일을 유포했습니다. [그림 2] 리플라이 오퍼레이터 조직이 유포한 피싱 메일 비교 이번에 발견된 피싱 메일에는 기존에 유포했던 피싱 메일에 사용한 동일한 도메인이 사용되었으며, 피싱 메일에 첨부된 압축 파일 해제 용도의 비밀번호를 본문에 첨부한 점이 동일합니다...

악성코드 분석 리포트 2019. 5. 29. 11:17

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 28일), '형사 사건번호'라는 제목으로 헌법 재판소를 사칭한 피싱 메일이 유포되고 있어, 사용자들의 주의가 필요합니다. 이번에 포착된 피싱 메일에는 'VegaLocker' 변종을 감염자 PC에 다운로드하고 실행시키는 것으로 조사되었으며, "리플라이 오퍼레이터(Reply Operator)" 그룹이 유포한 것으로 확인되었습니다. [그림 1] 헌법 재판소를 사칭한 피싱 메일 화면 피싱 메일에는 'Documents.zip'라는 압축 파일(.zip)이 첨부되어 있습니다. 특이한 점은 이전에 발견된 메일과 달리 보관 '파일의 비밀번호'라는 내용이 추가된 점입니다. 해당 메일을 받은 사용자가 사건과 관련된 서류로 착각해 압축을 해제..

악성코드 분석 리포트 2019. 5. 28. 10:16

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 22일), '헌법 재판소 전화', '헌법 재판소 청문 의제' 등의 제목으로 헌법 재판소를 사칭한 피싱 메일이 유포되고 있습니다. 이번에 포착된 피싱 메일은 신종 랜섬웨어 'Sodinokibi'를 감염자 PC에 다운로드하고 실행시키며, 리플라이 오퍼레이터 그룹이 유포한 것으로 확인되었습니다. [그림 1] 헌법 재판소를 사칭한 피싱 메일 화면 피싱 메일에는 '법원 서류.zip'라는 압축 파일(.zip)이 첨부되어 있습니다. 해당 메일을 받은 사용자가 법원 서류인 것으로 착각해 압축을 해제하면, '연락처 세부 정보.doc', '사건에 관한 서류.doc'라는 MS Word 문서(.doc)를 위장한 악성 링크 파일(.lnk)이 들..

악성코드 분석 리포트 2019. 5. 22. 15:57

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 2019년 4월 10일, ESRC에서는 리플라이 오퍼레이터(Reply Operator) 조직이 이미지 저작권 위반과 관련한 악성 메일을 유포한 정황을 확인하였습니다. 금일 오전 포착된 비너스락커(Venus Locker) 조직의 악성 메일과 동일하게 EGG 확장자의 알집 파일을 첨부하여 사용자들의 클릭을 유도했습니다. 리플라이 오퍼레이터 조직 또한 비너스락커 조직을 따라 하면서 계속 활동을 이어가고 있어, 사용자들의 각별한 주의가 필요합니다. [그림 1] 사진 편집자 및 디자이너를 사칭한 악성 이메일 화면 리플라이 오퍼레이터 조직은 '대한민국 국세청', '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장', '이미..

악성코드 분석 리포트 2019. 4. 19. 16:37

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 최근 2019.03.30~2019.04.01에 걸쳐 대한민국 국세청 및 경찰청을 사칭한 악성 이메일을 포착하였습니다. [그림 1] 국세청 및 경찰청을 사칭한 악성 이메일 화면 최근 이 갠드크랩 유포 조직은 '대한민국 국세청', '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등을 통해 랜섬웨어를 한국에 집중 유포하고 있습니다. 이들 조직은 기존 '[비너스락커] 랜섬웨어 유포 조직'과는 확연히 구분되고 있으며 어눌한 한국어를 사용하는 것이 특징인 조직이었습니다. 해당 조직의 eml 파일 내부 분석 결과, 'reply-to' 부분이 공통적으로 존재한다는 고유 특징을 발견했습니다. [그림 2] eml 파일 내부의..

악성코드 분석 리포트 2019. 4. 2. 17:01