メールで届く「wizファイル」に注意 - マクロ有効化でマルウェア感染のおそれも 일본 IPA는 'wiz' 확장자를 가진 파일을 이용한 공격 방법에 대해 주의를 당부하였습니다. wiz 파일을 이용한 공격은 워드 파일과 마찬가지로 매크로를 악용하는 공격 방식으로, .wiz 파일은 일반적으로 워드와 연결되어 있기 때문에 사용자가 더블 클릭을 할 경우 office의 '제한된 보기'를 통해 열리게 됩니다. 그렇기 때문에 일반적으로는 위험하지 않지만, 만약 사용자가 파일을 실행한 후 제한된보기를 해제하게 되면 악성 매크로가 동작하면서 악성코드에 감염될 가능성이 높아지게 됩니다. 이미 IPA는 이 파일이 첨부파일을 통해 유포되고 있는 사실을 확인하였습니다. 악성 이메일에 첨부되어있는 악성코드는 다운로더로, 실행되면 추가로 ..

국내외 보안동향 2018. 10. 30. 16:09

안녕하세요? 이스트시큐리티 위협인텔리전스 전문조직인 시큐리티대응센터(이하 ESRC)입니다. 2018년 05월 14일 한국의 유명 택배회사의 배송팀으로 위장된 이메일로 '갠드크랩(GandCrab) 랜섬웨어 변종'이 유포되고 있어 이용자분들의 각별한 주의가 요망됩니다. 동일한 공격자는 2016년 말부터 2017년까지 비너스락커(VenusLocker) 랜섬웨어를 유포했고, 초기에 매크로 기능을 이용한 방식을 사용한 바 있습니다. 그 이후에 바로가기(.LNK) 파일과 랜섬웨어 메인 실행파일(.EXE)을 연결하는 수법을 주로 많이 사용했고, 일부 악성문서에서는 중국식 폰트(DengXian)가 사용된 바 있습니다. 아래는 실제 유포에 사용된 이메일의 화면으로 유창한 한국어로 작성되어 있으며, 마치 실제 택배 배송관..

악성코드 분석 리포트 2018. 5. 15. 08:47

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2018년 02월 01일 한국의 특정 국회의원실에서 배포하는 자료로 사칭한 스피어 피싱(Spear Phishing) 공격이 발생했습니다. 주요 공격 대상자는 가상화폐 거래소를 활용하는 이용자입니다. ▶ 오퍼레이션 아라비안 나이트 공격그룹 글로벌 활동 확대 ▶ 문서파일 취약점을 활용한 파일리스(Fileless) 악성코드의 스텔스 위협 ▶ 3.20 공격 조직의 최신 오퍼레이션 '코인 매니저 (Coin Manager)' ▶ 문서파일 취약점 공격과 한국 가상화폐 거래자 대상 공격간의 연관성 분석 ▶ [주의] 가상화폐 거래 관계자를 대상으로 한 스피어피싱 지속 ▶ 비트코인 관련 내용으로 진행 중인 스피어피싱 공격 주의 발신자는 마치 국회에서 작성한 대외..

악성코드 분석 리포트 2018. 2. 5. 13:15

17-Year-Old MS Office Flaw Lets Hackers Install Malware Without User Interaction MS 오피스에서 파일을 열 때 특별히 조심하셔야합니다. 사용자들이 MS의 내장 기능인 ‘패치 되지 않는’ DDE와 씨름하고 있는 도중, 연구원들이 또 다른 오피스 컴포넌트의 심각한 문제를 발견했습니다. 이는 공격자들이 타겟 컴퓨터에서 원격으로 멀웨어를 설치하도록 허용합니다. 이 취약점은 메모리 손상 문제이며, MS Office 365를 포함한 지난 17년간 출시 되어온 마이크로소프트 오피스의 모든 버전에 존재합니다. 또한 모든 최신 윈도우 10 Creators 업데이트를 포함한 모든 버전의 윈도우 OS에서 동작합니다. 이 취약점은 원격 코드 실행으로 이어지며, ..

국내외 보안동향 2017. 11. 20. 09:49

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 2017년 07월 25일부터 일본에서 다량 전파된 악성 해킹 메일이 국내에도 유입된 정황이 일부 포착되어 각별한 주의가 필요한 상황입니다. 해당 해킹 메일은 일본어(한자)로 '청구서(請求書)'라는 제목을 달고 있으며, 발신자 이메일은 일본에서 주로 사용하는 'so-net.ne.jp' 도메인이지만 아이디는 다양하게 설정되어 전파되고 있습니다. 일본의 인터넷 사업자, 보안기업, 금융기관, 수사기관 등과 협력하는 '일본 사이버범죄 컨트롤 센터(JC3/Japan Cybercrime Control Center)'에서도 지난 25일 주의보를 내린 상태이기도 합니다. [그림 1] 일본 사이버범죄 컨트롤 센터에 등록된 주의 안내문 한국과 일본에서 이미 발견..

악성코드 분석 리포트 2017. 7. 27. 13:57

PDF 첨부파일 기능을 악용하여 매크로 악성파일을 유포하는 새로운 방식 발견돼 오피스 매크로를 이용한 악성코드 유포 방식은 이미 오래 전부터 기승을 부려왔습니다. 이에 따라 백신 회사들은 문서를 통한 감염을 예방하고 악성코드를 탐지하기 위해 관련 연구를 활발하게 진행했습니다. 하지만 최근 국내에서 백신의 탐지를 우회하기 위한 새로운 악성파일 유포 방식이 발견되었습니다. 공격자는 제록스(Xerox) 스캔 문서를 위장한 PDF파일을 첨부하여 이메일 형태로 악성파일을 배포합니다. [그림 1] 제록스 스캔 문서를 위장한 PDF파일이 첨부된 이메일 악성 매크로가 포함된 문서를 직접 첨부하던 기존 방식과 달리, PDF 파일만이 첨부되어있기 때문에 수신자는 별다른 의심 없이 이 파일을 실행할 가능성이 큽니다. 따라서..

악성코드 분석 리포트 2017. 4. 21. 15:57

애플 맥 OS용 Word 매크로 악성코드 최초 발견!Watch Out! First-Ever Word Macro Malware for Apple Mac OS Discovered in the Wild 최근 보안연구원들은 최초의 Mac용 악성 매크로 Word 문서를 발견했습니다. 이 공격은 오래된 윈도우용 기술로, 피해자들이 감염된 Word 문서를 클릭하도록 유도하여 악성 매크로를 실행시킵니다. 보안연구원이 이번에 최초로 발견한 악성 매크로가 포함된 Word 파일은 "U.S. Allies and Rivals Digest Trump's Victory – Carnegie Endowment for International Peace.docm" 파일명을 갖고 있었습니다. 해당 악성 워드문서를 클릭하면, 실행되기 전 ..

국내외 보안동향 2017. 2. 14. 16:02

송년회 등 연말 특수를 겨냥한 ‘한국 맞춤형’ 악성 파일 유포 포착! 안녕하세요. 알약입니다. 최근 연말을 맞아, 송년회 및 신년회 안내 문서를 위장한 '한국 맞춤형 악성 파일' 유포 정황이 발견되어, 사용자 여러분의 각별한 주의를 당부 드립니다. 이번에 발견된 공격은 송년회 및 신년회 행사 장소를 안내하는 내용처럼 위장한 MS 오피스 워드(*.doc) 문서 파일을 특정 대상에게 발송하고, 사용자가 첨부된 문서 파일을 열람하면 해커가 워드 문서에 미리 저장해 놓은 매크로가 실행되는 형태입니다. 매크로(Macro)는 여러 개의 명령문을 하나로 묶어 간단하게 사용할 수 있는 일종의 ‘자동 실행’ 기능입니다. 이번 파일의 매크로가 실행될 경우, 특정 사이트에 접속해 악성 파일을 내려받고 실행하여 사용자 PC를..

악성코드 분석 리포트 2016. 12. 27. 17:41