안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 구직/채용 지원서로 위장하여 Nemty 랜섬웨어를 유포하는 시도가 계속 발생하고 있습니다. [그림 1] 구직/채용 지원서로 위장한 악성메일 ESRC에서는 비너스락커 조직의 수행으로 추정하고 있으며, 비너스락커 조직은 8/27일 처음으로 신규 랜섬웨어인 Nemty를 유포한 바가 있습니다. ※ 관련글 바로가기 ▶ 비너스락커 조직, 새로운 랜섬웨어 'Nemty' 유포 시작 (2019.08.27) 이번에 발견된 스팸 캠페인 역시 이전과 동일하게 네이버 메일 계정을 통해 발송했습니다. 메일 내용은 입사지원서로 꾸몄습니다. 메일의 첨부파일은 7zip 형식으로 압축되어 있고, 압축파일 내부에는 PDF 문서로 위장한 악성 EXE 랜섬웨어가 포함되어 있습..

악성코드 분석 리포트 2019. 9. 11. 14:00

안녕하세요.이스트시큐리티 시큐리티대응센터(ESRC)입니다. 오늘(8/27) 오전부터 입사지원서를 위장하여 신규랜섬웨어를 유포하는 시도가 계속 발생하고 있습니다.공격자는 네이버 메일 계정을 통해 메일을 발송했으며, 입사지원서로 위장했습니다. 메일 첨부파일은 압축파일 형태로 구성되어 있으며, 압축을 풀면, 이력서와 포트폴리오 문서, 지원서 이미지로 위장한 악성실행파일을 확인할 수 있습니다. [그림 1] 입사지원서로 위장한 악성이메일. 네이버메일 계정을 악용 [그림 2] 악성메일 첨부파일 내에 압축되어 있는 악성파일 사용자가 압축파일 내 실행파일을 실행하면, 최근 발견된 신종 랜섬웨어인 'Nemty' 랜섬웨어에 감염되고 파일들은 암호화 된 후 "_NEMTY_(영문숫자랜덤)_" 확장자가 추가됩니다. [그림 3]..

악성코드 분석 리포트 2019. 8. 27. 15:21

안녕하세요. 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 금일(2019.08.20) 비너스락커(VenusLocker) 조직이 입사지원서를 사칭한 악성 메일을 유포하고 있는 정황이 확인되어 이용자들의 각별한 주의를 당부드립니다. [그림 1] 입사지원서를 사칭한 이력서 악성메일 이번에 발견된 악성 메일은 지난 8/12에 확인된 악성메일과 동일한 내용을 담고 있으며, 문장 내에 마침표가 없고 7z로 압축된 악성파일을 첨부하고 있다는 점까지 동일합니다. ▶ 비너스락커 조직(VenusLocker) 기존보다 진화된 형태로 Sodinokibi 랜섬웨어 유포중! (2019. 08. 12) 해당 메일을 받은 수신자가 입사지원을 위한 이력서로 착각하여 압축파일을 해제하면 2개의 실행파일을 다운로드할 수 있으며, ..

악성코드 분석 리포트 2019. 8. 20. 18:12

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019.08.12) 비너스락커(VenusLocker) 조직이 입사지원서를 사칭한 악성 메일을 유포하고 있는 정황이 확인되어 이용자들의 각별한 주의를 당부드립니다. 비너스락커 조직은 과거에는 구글 지메일이나 실제 호스팅을 구축해서 메일을 보냈는데, 최근에는 KT 등 한국 아이피에서 발송하고 있습니다. [그림 1] 입사지원서'로 위장한 악성 메일 이번에 발견된 악성 메일은 8/5일 발견된 입사지원서 사칭 메일과 비슷한 내용으로 유창한 한글 표기법으로 작성되었으며, 실제 입사지원서 메일 제목 양식처럼 "회사명_직무(이름)"으로 작성되었습니다. 이메일 본문을 살펴보면 마침표를 안 쓰는 특성을 확인할 수 있습니다. 또한 메일에 첨부된 압축 파일은..

악성코드 분석 리포트 2019. 8. 12. 13:29

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019.08.05) 중소기업을 타깃으로 입사지원서를 사칭한 악성 메일이 유포된 정황이 포착되어 이용자들의 주의를 당부드립니다. ESRC 분석 결과, 비너스락커(VenusLocker) 조직이 다시 RaaS 기반의 소디노키비 랜섬웨어를 활용해 악성 메일을 유포하고 있는 것으로 밝혀졌습니다. 이번에 발견된 입사지원서 메일은 리플라이 오퍼레이터에 비해 유창한 한글 표기법을 사용하였으며, 실제 입사지원서 메일 제목 양식처럼 "회사명_직무(이름)"으로 작성되었습니다. [그림 1] '입사지원서'로 위장한 악성 메일 이메일 본문을 살펴보면 마침표를 안 쓰는 특성을 확인하실 수 있습니다. 메일에 첨부된 파일인 '이지운.7z'에는 hwp 파일로 위장한 악..

악성코드 분석 리포트 2019. 8. 5. 17:07

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2019년 4월 19일, ESRC에서는 비너스락커(Venus Locker) 그룹으로 추정되는 입사지원서를 위장한 갠드크랩 v5.2 유포 정황을 포착하였습니다. [그림 1] 입사지원서를 위장한 악성 메일 이미지 최근 채용 시즌을 맞아 지속적으로 입사지원서 사칭 메일이 다양한 지원자 이름으로 유포되고 있습니다. 이번 악성 메일도 최근 2주간 발견된 입사지원서 사칭 메일과 동일하게 .egg 확장자의 알집 파일이 첨부되어 있었습니다. 메일 제목은 ‘성유리입니다.’라는 지원자가 보낸 메일처럼 작성하였고, 메일 내용 또한 간단하게 ‘안녕하세요! 공고 보고 연락 드려요’라고 작성되어 있습니다. 첨부된 압축 파일을 해제하면 DOC, JPG 확장자로 위장한 악..

악성코드 분석 리포트 2019. 4. 22. 11:02

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 4월 19일) ESRC에서는 비너스락커(Venus Locker) 그룹이 또다시 입사지원서를 위장한 갠드크랩 v5.2을 유포한 정황을 포착하였습니다. [그림 1] 입사지원서를 위장한 악성 메일 이미지 금일 발견된 입사지원서 사칭 메일 역시 지난 8일 발견된 입사지원서 사칭 메일과 동일하게 .egg 확장자의 알집 파일이 첨부되어 있었습니다. 또한, 발신자 주소로 한국에서 많이 사용하는 네이버를 사용했다는 점도 주목해 볼 만합니다. 최근 비너스락커(Venus Locker) 그룹은 알집 EGG 압축 포맷을 사용하여 변종들을 다량 유포하고 있는 중입니다. 첨부된 압축 파일을 해제하면 악성 파일을 PDF, JPG 1차 확장자로 위장하고 있..

악성코드 분석 리포트 2019. 4. 19. 13:30

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 비너스락커 그룹이 '이미지 저작권 위반'의 내용이 담긴 악성 메일로 GandCrab v5.2 랜섬웨어를 유포하고 있어, 이용자들의 주의를 당부드립니다. 이번에 발견된 메일에는 개인 작가의 이미지를 무단으로 사용해 저작권을 위반했다는 내용이 담겨 있으며, 이미지 확인을 위해 첨부 파일(.egg) 실행을 유도합니다. [그림 1] '이미지 저작권 위반 안내'가 담긴 악성 메일 첨부 파일 '원본이미지.egg'에는 실제 이미지와 문서로 위장한 파일이 아래와 같이 들어있습니다. (메일 첨부파일마다 조금씩 상이할 수 있습니다.)- 원본이미지.jpg(긴공백).exe [그림 2] 첨부파일 '원본이미지.egg' 이용자가 이미지를 보기 위해 jpg 파일로 위..

악성코드 분석 리포트 2019. 4. 11. 14:49