안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 4월 8일) 입사지원서를 위장한 갠드크랩 v5.2을 새롭게 유포한 정황이 포착되어 사용자들의 주의가 필요합니다. 해당 악성 메일은 기존에 갠드크랩을 유포하던 비너스락커(Venus Locker) 그룹인 것으로 밝혀졌습니다. [그림 1] 입사지원서를 위장한 악성 메일 이미지 금일 발견된 입사지원서 사칭 메일은 .egg 확장자의 알집 파일이 첨부되어 있는 것이 특징입니다. 첨부된 파일을 압축 해제하면 압축파일 내에는 그림과 같이 긴 공백을 포함하며, pdf 파일을 위장한 exe 실행파일과 증명서라는 jpg 그림파일이 들어있습니다. (메일 첨부파일마다 조금씩 상이할 수 있습니다.) [그림 2] 악성 파일 내용 공격자는 파일명에 긴 공백..

악성코드 분석 리포트 2019. 4. 8. 13:37

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. 저희는 대한민국을 주무대로 활동하는 사이버 위협그룹의 활동반경을 집중 모니터링하고 있으며, 최근 몇 개월사이 가장 활발한 움직임이 감지되고 있는 조직에 주목해 위협 인텔리전스 기반 대응을 강화하고 있습니다. 이들이 사용하고 있는 침해지표 IoC 들은 A.l(인공지능) 기반 악성코드 위협대응 솔루션 '쓰렛인사이드(Threat Inside)'를 통해 제공되고 있습니다. 대표적인 한국대상 위협 행위자(Threat Actor)들 가운데에서도 금전적인 수익을 비지니스 모델로 유지하고 있는 것은 단연 독보적으로 비너스락커(VenusLocker) 조직을 꼽을 수 있습니다. 2016년 비너스락커 조직의 태동..

악성코드 분석 리포트 2018. 12. 13. 09:05

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. 과거 비너스락커(VenusLocker) 랜섬웨어를 유포했던 위협조직이 최근 대규모로 악성 이메일을 국내에 유포하는 정황이 지속적으로 포착되고 있어 이용자 분들의 각별한 주의가 필요해 보입니다. 이들 조직은 한글로 '입사지원서', '이미지 무단사용 내용의 저작권법 안내' 등으로 이용자들을 현혹하고, 악성 매크로 코드가 포함된 DOC 워드파일을 첨부해 집중적으로 유포하고 있으며, 주로 갠드크랩(GandCrab) 랜섬웨어를 전파시키고 있습니다. 아울러 최근에는 '임금체불관련 출석요구서', '바로가기(LNK) 파일을 새로 제작', '입사지원서 사칭 유포' 한 내용들을 알약 공식 블로그를 통해 신속하게..

악성코드 분석 리포트 2018. 12. 10. 22:48

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. 지난 주부터 비너스락커(VenusLocker) 랜섬웨어 조직이 다시 활동을 본격화하고 있습니다. 이들은 최근에 RaaS(Ransomware-as-a-Service) 기반의 러시아 서비스형 갠드크랩(GandCrab) 랜섬웨어를 한국에 집중 유포시키고 있습니다. '11월 15일에는 장윤성 입사지원서를 위장'해 DOC 워드 문서의 매크로 기능을 이용해 유포한 바 있고, '19일에는 박혜윤 이력서 내용과 이메일 본문에 악성 EXE 파일 링크'로 유포했습니다. [그림 1] 갠드크랩 랜섬웨어 유포에 이용된 악성 이메일 실제 화면 MS Word 매크로 기법과 악성 EXE 파일의 직접적인 유포를 사용하던 범..

악성코드 분석 리포트 2018. 11. 20. 19:13

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. 과거 비너스락커(VenusLocker) 랜섬웨어를 뿌렸던 조직이 지난 11월 15일 입사지원서를 사칭해 갠드크랩(GandCrab) v5.0.4 랜섬웨어를 한국에 대량으로 유포하고 있는 내용을 공개한 바 있습니다. 동일한 조직이 지난 주말부터 한국에서 개발된 'Berryz WebShare (베리즈 웹쉐어)' 파일공유 서버를 구축해 또 다른 갠드크랩 v5.0.4 변종을 유포하고 있어 각별한 주의가 요망됩니다. [그림 1] 베리즈 웹쉐어 서버로 유포 중인 갠드크랩 랜섬웨어 화면 ESRC에서는 해당 위협조직이 지난 주 이미 해당 서버를 구축하고 있다는 사실을 확인해, 지속적으로 공격자를 추적 감시하고..

악성코드 분석 리포트 2018. 11. 19. 13:41

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. 2018년 11월 15일부터 입사지원서를 사칭한 악성 이메일을 통해 한국의 불특정 다수의 이용자들에게 랜섬웨어가 급속 유포되고 있어 각별한 주의가 필요합니다. 추가 위협 분석자료는 이스트시큐리티 악성코드 위협대응 솔루션인 쓰렛 인사이드(Threat Inside) 서비스를 통해서도 확인해 보실 수 있습니다. [그림 1] 비너스락커 랜섬웨어 유포 조직이 입사지원서를 사칭해 유포 중인 악성 이메일 화면 한국에 유포된 악성파일은 갠드크랩(GandCrab) 랜섬웨어 v5.0.4 변종이며, 마이크로소프트사 오피스 문서파일(.DOC)의 악성 매크로 기능을 통해 다량 전파되었습니다. 해당 위협그룹은 기존 비..

악성코드 분석 리포트 2018. 11. 15. 18:31

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 실제로 존재하는 디자이너 명의를 사칭한 악성 메일을 통해 GandCrab 랜섬웨어가 유포되고 있어 주의를 당부드립니다. 관련글 보기 ▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의 ▶ 가상화폐 모네로(XMR) 채굴기능의 한국 맞춤형 표적공격 증가 ▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요 ▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의 ▶ 확장자 숨겨 악성파일 열어보게 만드는 메일 유포… 고소장, 방 예약 문의 등으로 위장해 랜섬웨어 감염 ▶ 교육 일정표 위장한 ‘한국 맞춤형’ 비너스락커 랜섬웨어 변종 국내 유포 중! ▶ ‘이젠 유명 단체 사칭에 한국..

악성코드 분석 리포트 2018. 3. 27. 14:53

'eFINE 교통범칙금 인터넷 납부'로 돌아온 비너스락커 주의! 안녕하세요. 이스트시큐리티입니다.최근 AutoCryptor 랜섬웨어가 국가 기관 및 기업, 그리고 블로그 서비스 이용자를 대상으로 '설문조사', '페덱스 배송'. '차량 법규 위반 과태료 통지서' 등 다양한 형태의 메일로 유포되었습니다. ※ 관련 글 - 10분의 1수준, 저렴한 암호 해독 비용 요구하는 '박리다매'형 랜섬웨어 유포 중! (▶바로가기) - 글로벌 특송업체 '페덱스' 배송팀을 사칭한 '오토크립터' 한국형 랜섬웨어 확산! (▶바로가기) - '차량 법규 위반 과태료 통지서'로 위장한 '오토크립터' 랜섬웨어 국내 다량 유포 주의 (▶바로가기) 그리고 이번에는 '[eFINE]위반사실 통지 및 과태료부과 사전통지서'라는 제목의 이메일을 ..

악성코드 분석 리포트 2017. 6. 1. 17:20