안녕하세요?ESRC(시큐리티대응센터)입니다. 지난 3월초 대량으로 이력서를 사칭하여 유포되었던 Makop 랜섬웨어 이메일이 4월초부터 다시금 유포가 이뤄지고 있습니다. ※ 관련글 바로가기 ▶ 비너스락커 조직이 이중압축을 통해 유포하고 있는 Makop 랜섬웨어 주의! (20.03.06)▶ 비너스락커 조직, 지원서 사칭 이메일을 통해 Makop 랜섬웨어 대량 유포중! (20.03.04) 이번에 발견된 이력서 사칭 악성 이메일 역시 국내 대형 포털 이메일을 사용하고, 이메일 본문에 문장을 작성시 마침표를 생략하며 이중압축을 하는 등의 특징을 보았을 때 비너스락커 조직이 유포하는 것으로 추정됩니다. [그림 1] 지원서 사칭 랜섬웨어 악성 이메일 이력서를 사칭하는 메일 특성상 꾸준히 첨부파일에 포함된 문서위장 파..

악성코드 분석 리포트 2020. 4. 13. 16:43

안녕하세요. ESRC(시큐리티 대응센터)입니다. 비너스락커 조직이 지속적으로 공정거래위원회를 사칭하여 랜섬웨어를 유포중에 있어 사용자들의 주의가 필요합니다. [그림 1] 공정거래위원회 사칭 메일 비너스락커 조직은 이미 몇년 전 부터 공정거래위원회를 사칭하여 랜섬웨어를 유포하였으며, 유포하는 랜섬웨어 종류는 바뀌었지만 그 수법은 매우 유사합니다. 이에 ESRC에서는 공정거래위원회 사칭 악성메일에 대해 이미 여러차례 주의를 당부드렸었습니다. ※ 공정거래위원회 사칭 악성메일 관련 글 ▶ 공정거래위원회를 사칭한 악성 메일 주의! 비너스락커 조직의 소행으로 추정 (2020.01.03)▶ Nemty 랜섬웨어, 공문을 사칭한 악성 메일을 통해 지속적으로 유포중! (2019.11.13)▶ 비너스락커, 공정거래위원회 사..

악성코드 분석 리포트 2020. 4. 3. 09:25

안녕하세요. ESRC(시큐리티 대응센터)입니다. 비너스락커 조직, 여전히 이력서를 위장해 랜섬웨어 유포중인것으로 확인되었습니다. [그림 1] 이력서를 위장한 악성 메일 이번에 발견된 악성메일에 포함된 첨부파일도 기존에 유포되었던 악성파일들과 마찬가지로 압축파일 안에 또 다른 압축파일이 포함된 이중압축을 통해 보안sw의 탐지를 우회하려고 시도하고 있습니다. [그림 2] 압축파일 안에 또 다른 압축파일이 포함 이중압축 내부에는 pdf 파일을 위장한 exe 파일이 포함되어 있습니다. [그림 3] 이중압축 해제 후 보이는 파일 사용자가 만약 이중압축 해제 후, 압축파일에 포함되어 있던 실행파일을 실행하면 Nemty 랜섬웨어 3.1버전에 감염되게 됩니다. [그림 4] 랜섬노트 현재 알약에서는 해당 랜섬웨어에 대해..

악성코드 분석 리포트 2020. 4. 2. 15:48

안녕하세요. ESRC(시큐리티 대응센터)입니다. 얼마 전 ESRC는 Makop 랜섬웨어를 유포하는 비너스락커 조직에 대해 경고한 적이 있습니다. ▶ 비너스락커 조직, 지원서 사칭 이메일을 통해 Makop 랜섬웨어 대량 유포중!! 비너스락커 조직은 2017년도부터 현재까지 국내에 랜섬웨어를 대량으로 유포하는 조직으로, 유포하는 랜섬웨어는 주기적으로 달라집니다. 얼마 전 까지 이 조직은 국내에 Nemty 랜섬웨어를 유포하였지만, 최근부터는 Nemty랜섬웨어가 아닌 Makop 랜섬웨어를 유포하고 있습니다. 뿐만 아니라, 백신 및 보안장비의 탐지를 우회하기 위하여 유포방식의 변화를 주고 있습니다. [그림 1] 이력서를 위장하고 있는 악성 메일 이번에 발견된 이력서 사칭 악성 메일 역시 국내 대형 포털 이메일 사..

악성코드 분석 리포트 2020. 3. 6. 08:32

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 국내에 Nemty 랜섬웨어를 유포하던 비너스락커 조직이 Nemty 랜섬웨어가 아닌 Makop 랜섬웨어를 대량으로 유포중에 있어 사용자들의 주의가 필요합니다. ※ 관련글 바로가기 ▶ 이력서 이메일을 위장하여 유포중인 Nemty 랜섬웨어 주의! 비너스락커 조직으로 추정 (2020.01.20)▶ 공정거래위원회를 사칭한 악성 메일 주의! 비너스락커 조직의 소행으로 추정 (2020.01.03) ▶ 비너스락커 조직, Nemty 2.2 랜섬웨어 여전히 유포중 (2019.12.10)▶ 비너스락커 조직, 구직의뢰 내용으로 Nemty 랜섬웨어 2.2 확산 중(2019.12.04)▶ Nemty 랜섬웨어, 공문을 사칭한 악성 메일을 통해 지속적으로 유포중! (2019.11..

악성코드 분석 리포트 2020. 3. 4. 15:43

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019/10/10) "전자상거래 위반행위 조사통지서"로 위장하여 Nemty 랜섬웨어가 유포되고 있는 정황이 포착되었습니다. ESRC 조사 결과, 비너스락커(VenusLocker) 조직의 소행으로 추정되며, 정부 공문 포맷 이미지를 이용해 현재 대량으로 유포되고 있어 사용자들의 각별한 주의가 필요합니다. [그림 1] "전자상거래 위반행위 조사통지서"로 위장한 악성 메일 [그림 2] 메일에 첨부된 공정거래위원회 통지서 상세 내용 이번에 발견된 스팸 캠페인은 한메일 계정을 통해 발송되었고, 이전에 유포된 적 있는 공정거래위원회를 사칭했습니다. 메일의 첨부파일은 7z 형식으로 압축되어 있었으며, 압축파일 내부에는 PDF 문서로 위장한 악성 EX..

악성코드 분석 리포트 2019. 10. 10. 13:16

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019/09/30) "이름 지원서"로 위장하여 Nemty 랜섬웨어가 유포되고 있는 정황을 확인하였습니다. [그림 1] "이름 지원서"로 위장한 악성 메일 [그림 2] 지원서를 사칭한 악성 메일2 지원서를 위장한 악성 메일 캠페인은 비너스락커(VenusLocker) 조직의 수행으로 추정되며, 최근에도 채용 지원서를 위장하여 Nemty 랜섬웨어를 유포했습니다. 이번에 발견된 스팸 캠페인은 한메일 계정을 통해 발송되었고, 기존에 발견된 메일과 동일하게 입사지원서를 사칭했습니다. 메일의 첨부파일은 7z 형식으로 압축되어 있었으며, 압축파일 내부에는 MS Word 문서로 위장한 악성 EXE 랜섬웨어가 포함되어 있습니다. [그림 3] 스팸 메일에 ..

악성코드 분석 리포트 2019. 9. 30. 16:53

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 ESRC에서는 "(이름) 지원서"로 위장하여 Nemty 랜섬웨어를 유포하는 악성 캠페인 정황을 포착하였습니다. [그림 1] "(이름) 지원서"로 위장한 악성 메일 금일 지원서를 위장한 악성 메일 유포는 비너스락커(VenusLocker) 조직의 수행으로 추정하고 있으며, 이전에도(9/11) 비너스락커 조직은 Nemty 랜섬웨어를 유포한 바가 있습니다. ※ 관련글 바로가기 ▶ 비너스락커 조직, 입사지원서를 위장한 메일로 랜섬웨어 'Nemty' 유포 중! (2019.09.11)▶ 비너스락커 조직, 새로운 랜섬웨어 'Nemty' 유포 시작 (2019.08.27) 이번에 발견된 스팸 캠페인은 한메일 계정을 통해 발송되었으며, 기존에 발견된 메일과 ..

악성코드 분석 리포트 2019. 9. 23. 13:47