メールで届く「wizファイル」に注意 - マクロ有効化でマルウェア感染のおそれも 일본 IPA는 'wiz' 확장자를 가진 파일을 이용한 공격 방법에 대해 주의를 당부하였습니다. wiz 파일을 이용한 공격은 워드 파일과 마찬가지로 매크로를 악용하는 공격 방식으로, .wiz 파일은 일반적으로 워드와 연결되어 있기 때문에 사용자가 더블 클릭을 할 경우 office의 '제한된 보기'를 통해 열리게 됩니다. 그렇기 때문에 일반적으로는 위험하지 않지만, 만약 사용자가 파일을 실행한 후 제한된보기를 해제하게 되면 악성 매크로가 동작하면서 악성코드에 감염될 가능성이 높아지게 됩니다. 이미 IPA는 이 파일이 첨부파일을 통해 유포되고 있는 사실을 확인하였습니다. 악성 이메일에 첨부되어있는 악성코드는 다운로더로, 실행되면 추가로 ..

국내외 보안동향 2018. 10. 30. 16:09

지난주, 미국 매체들은 러시아가 미국 원자력 발전소 및 핵개발 시스템을 타겟으로 공격을 거행했다는 충격적인 소식을 전했습니다. 그리고 이 소식은 미국의 국토안보부 DHS와 연방조사국 FBI의 합동 보고서를 근거로 전해졌습니다. 공격자는 러시아 해킹그룹이다? 뉴욕타임즈는 이번 해킹 공격 배후에는 러시아 스파이 조직이 있다고 밝혔습니다. 이 조직의 이름은 Energetic Bear, 또 다른 보안보고서에는 Dragonfly 혹은 Crouching Yeti 라고도 불리웁니다. 이 조직은 2010년부터 활동하기 시작하였으며, 최소 2014년 이후 원자력 기업들을 공격타겟으로 정한 것으로 추측됩니다. DHS와 FBI의 합동조사로 밝힌 해커조직의 공격목표리스트에는 캔자스벌링턴에 위치하고 있는 Wolf Creek원자..

국내외 보안동향 2017. 7. 13. 16:52

PDF 첨부파일 기능을 악용하여 매크로 악성파일을 유포하는 새로운 방식 발견돼 오피스 매크로를 이용한 악성코드 유포 방식은 이미 오래 전부터 기승을 부려왔습니다. 이에 따라 백신 회사들은 문서를 통한 감염을 예방하고 악성코드를 탐지하기 위해 관련 연구를 활발하게 진행했습니다. 하지만 최근 국내에서 백신의 탐지를 우회하기 위한 새로운 악성파일 유포 방식이 발견되었습니다. 공격자는 제록스(Xerox) 스캔 문서를 위장한 PDF파일을 첨부하여 이메일 형태로 악성파일을 배포합니다. [그림 1] 제록스 스캔 문서를 위장한 PDF파일이 첨부된 이메일 악성 매크로가 포함된 문서를 직접 첨부하던 기존 방식과 달리, PDF 파일만이 첨부되어있기 때문에 수신자는 별다른 의심 없이 이 파일을 실행할 가능성이 큽니다. 따라서..

악성코드 분석 리포트 2017. 4. 21. 15:57

LinkedIn(링크드인) 유출된 정보가 스피어피싱에 이용되고 있다.Stolen LinkedIn Data Used in Personalized Email Attacks 저번달, 1억명이 넘는 LinkedIn(링크드인) 사용자들의 계정이 유출되었으며, 이미 유출된 사용자 정보들이 악의적인 공격에 사용되고 있는것으로 확인되었습니다. 최근 지하시장에는 거래되는 사용자 개인정보들은 다양한 방식으로 악의적인 공격에 이용되고 있습니다. 월요일, 독인 연방 CERT(CERT-BUND)는 트위터에서 사용자의 이름 혹은 특징을 언급하며 악성 영수증, 워드문서가 첨부된 이메일을 조심하라고 경고하였습니다. 공격의 타겟이 된 이메일주소들에서 언급된 이름 혹은 기업체들은 모두 LinkdIn 정보유출 사건때 유출된 정보들과 관련..

국내외 보안동향 2016. 6. 14. 15:30

Backdoor.BlackEnergy 해커들이 강력한 파괴력을 가진 멀웨어를 이용하여 우크라이나의 최소 3군대의 지역 전력기관을 감염시켜 지난 12월 23일 우크라이나의 이바노프란키우시크 지역에 정전을 일으킨 것으로 밝혀졌습니다. 우크라이나 자원부는 조사를 통하여 이번 정전사태는 지역 에너지 공급처인 Prykarpattyaoblenergo가 사이버 공격을 당했기 때문이라고 발표하였으며, 실제로 우크라이나의 다수 전력기관들이 "BlackEnergy" 멀웨어에 감염되어 있었던 것으로 밝혀졌습니다. BlackEnergy 멀웨어는 2007년 처음 발견되었으며, 발견 당시 DDoS 공격을 실행하기 위한 단순한 툴이였지만, 2년전부터 감염된 컴퓨터들을 부팅할 수 없도록 만드는 등의 새로운 기능들이 추가되었습니다. ..

악성코드 분석 리포트 2016. 2. 24. 10:00

MS Office 매크로를 이용하여 키로깅 프로그램을 다운받는 공격활동 분석 MWI-5: Operation HawkEye 개요 MS Office 악성코드는 90년대처럼 유행하지는 않지만, 여전히 주의해야 할 악성코드입니다. 최근 강력한 Office 악성코드 개발툴인 Microsoft Word Intruder(MWI)가 러시아에서 개발되었습니다. WMI는 2015년 파이어아이에 의해 처음으로 공개되었지만, 이 악성코드의 파급력을 인지하지 못한 사용자들의 주목을 끌지 못했습니다. 하지만 파이어아이는 끊임없이 WMI에 관한 연구 보고서를 공개하였습니다. MWI을 이용한 공격 규모는 의도적으로 작은 규모를 유지하였습니다. 공격조직들은 수많은 컴퓨터들을 감염시키기 보다 몇 천대 혹은 몇 십대의 컴퓨터를 감염시켜,..

악성코드 분석 리포트 2015. 10. 22. 17:28