안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. "Payment Error" 제목의 스팸메일이 발송되고 있어 사용자의 주의가 필요합니다. 메일 본문에는 사용자가 계좌로 지불한 내역이 오류가 있었고, 아래의 링크에서 첨부파일을 다운로드하여 은행 정보가 맞는지 확인하라는 내용이 기재되어 있습니다. 링크가 연결된 사이트에는 다운로드할 수 있는 2개의 파일이 존재하며, 해당 파일 들은 각각 ProformaInvoice.doc.exe, Payment Details_xcod.exe 파일명으로 생성되어 있으며 Word, PDF 문서의 아이콘으로 위장되어 있습니다. 2개의 파일은 모두 Resmcos RAT 악성코드로써 실행 시 C&C통신 이후 스크린샷, 키로깅, 레지스트리 추가 및 편집, 공격자 명령..

악성코드 분석 리포트 2022. 11. 2. 16:27

QBot uses Windows Defender Antivirus phishing bait to infect PCs Qbot 봇넷이 악성코드를 배포하기 위해 새로운 템플릿을 사용하기 시작했습니다. 이들은 사용자가 엑셀 매크로를 활성화하도록 속일 목적으로 가짜 윈도우 디펜더 안티바이러스 테마를 사용합니다. QakBot 또는 QuakBot으로도 알려진 Qbot은 은행 자격 증명, 윈도우 도메인 자격 증명을 훔치고 랜섬웨어를 설치하는 공격자들에게 원격 접속을 제공하는 윈도우 악성코드입니다. 피해자들은 보통 다른 악성코드에 감염되거나 피싱 캠페인을 통해 Qbot에 감염됩니다. 피싱 캠페인은 가짜 인보이스, 지불 및 은행 정보, 스캔 문서 등 다양한 미끼를 사용합니다. 이 스팸 메일에는 악성 엑셀(.xls)파일이..

국내외 보안동향 2020. 10. 13. 09:00

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 11월 20일부터 금일(26일)까지 불특정다수의 기업을 상대로 구매주문, 명세서, 견적서 등 다양한 제목으로 위장한 피싱 메일이 대량으로 유포중에 있어 사용자들의 주의가 필요합니다. 이 피싱메일들은 별다른 내용을 포함하고 있지 않으며, htm 파일이 첨부되어 있는 이메일을 사용자에게 발송합니다. [그림1] 유포 중인 피싱 메일 사용자가 첨부되어 있는 htm 파일을 클릭하면, 네이버 로그인 화면을 위장한 페이지가 뜨게 됩니다. [그림2] 네이버 로그인 화면을 위장하고 있는 htm 파일 만약 해당 로그인창을 진짜 네이버 로그인창으로 오인하여 계정정보를 입력할 경우, 입력한 계정정보는 모두 공격자의 서버로 전송되며, 전송 후에는 자동으로 네이버 메일 ..

악성코드 분석 리포트 2019. 11. 27. 14:10

New LooCipher Ransomware Spreads Its Evil Through Spam LooCipher라 명명된 새로운 랜섬웨어가 사용자를 감염시키는 실제 공격에 활발히 악용되고 있다는 사실이 발견되었습니다. 해당 랜섬웨어가 어떻게 배포되는지는 확실히 밝혀지지 않았으나, 지금까지 발견된 파일로 미루어 볼 때 스팸 캠페인을 통해 유포되는 것으로 판단됩니다. LooCipher는 보안 연구원인 Petrovic이 최초로 발견했습니다. 악성 문서를 통해 배포되는 LooCipher 연구원들은 어떤 피싱 캠페인을 통해 랜섬웨어가 배포되는지는 밝히진 못했으나, 악성 워드 문서인 "Info_BSV_2019.docm"를 통해 유포된다는 사실을 발견했습니다. 사용자가 해당 악성 문서를 클릭하면, 아래와 같이 매..

국내외 보안동향 2019. 6. 25. 10:19

Shade Ransomware Expands to U.S. Targets 러시아 사용자들을 노리는 것으로 알려진 Shade 랜섬웨어가 미국, 일본을 포함한 새로운 지역을 노리는 것으로 최근 여러 캠페인에서 발견되었습니다. 카스퍼스키랩 연구소가 2014년 후반에 처음으로 발견한 이 랜섬웨어는 러시아 사용자들만을 노리는 것으로 알려졌었습니다. 하지만 최근 발견된 사이버 공격에서 Shade 랜섬웨어는 러시아가 아닌 다른 국가의 사용자를 노리고 있었습니다. Palo Alto Networks Unit 42그룹의 연구원인 Brad Duncan은 Shade 랜섬웨어에 영향을 받은 상위 국가 5곳은 러시아나 구 소련 국가가 아니라고 밝혔습니다. 그러면서 Shade 랜섬웨어에 영향을 받은 상위 TOP 5 국가는 미국, ..

국내외 보안동향 2019. 5. 27. 10:07

The SLoad Powershell malspam is expanding to Italy 최근 새로운 악성 스팸 캠페인이 이탈리아를 공격하고 있습니다. 공격자들은 sLoad라는 강력한 다운로더의 새로운 변종을 확산 중입니다. sLoad는 정교한 스크립트로 과거 “Ramnit 뱅커”등과 같은 무서운 악성코드 다수를 배포하는데 사용되어 왔습니다. “CERT-Yoroi는 지난 몇 달 동안 선거구를 대상으로 한 새로운 공격 패턴을 발견했습니다. 이 일련의 악성 메일은 이탈리아의 사이버 세계를 노리는 작전을 시작한 한 공격 그룹과 연관 되어있는 것으로 보이는 일반적인 기술들을 공유했습니다.” “이러한 공격 시도가 TTP를 변경한 사이버 범죄 그룹에 의한 것인지, 아니면 완전히 새로운 집단의 짓인지는 아직까지 확..

국내외 보안동향 2018. 11. 30. 09:31

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 견적서 요청 내용의 악성 메일이 지속적으로 발견되어 사용자들의 주의가 필요합니다. 유사한 내용의 악성메일은 올해 3월부터 꾸준히 발견되고 있습니다. ※ 관련글 보기 ▶ 악성코드가 첨부된 무역 관련 악성 메일 주의 ▶ 상품 구매를 희망하는 내용의 악성 메일 주의 ▶ 상품 관련 내용으로 유포되는 악성 메일 주의 ▶ ‘견적 의뢰’ 제목의 악성 메일 주의 ▶ 제품 견적서 확인 내용으로 위장한 악성 메일 주의 ▶ ACE 압축 파일이 첨부된 악성 메일 주의 ▶ ‘견적 의뢰’ 제목의 악성 메일 주의 이번에 발견된 악성메일은 견적서 관련 내용으로 유포중에 있으며, 특이한 점은, 이전의 악성메일들과 다르게 수신회사의 도메인 주소를 메일 본문에 첨부해 놓았습니다..

악성코드 분석 리포트 2018. 10. 18. 09:41

「秘密の生活、友人にばらす」と脅すメールが国内で流通 - 英文スパムを翻訳か ‘PC에 악성코드를 감염시켜서 내장 카메라로 성인동영상을 열람하고 있는 모습을 촬영했다’, ‘동료나 지인에게 밝혀지고 싶지 않다면 가상통화를 지불하라’ 라는 내용의 이메일이 9월 18일부터 일본에서 유포되고 있습니다. JPCERT는 이 메일은 ‘당신의 비밀생활’, ‘보안경고’, ‘계정문제’, ‘읽은 후에 전자메일을 삭제!’ 등의 제목으로 송신되고 있다고 밝혔습니다.. 이들 혹스 메일의 본문에는 성인동영상을 보려고 한 수신자의 단말에 악성코드를 감염시켜 PC에 내장된 카메라로 남들에게 알리고 싶지 않은 사생활을 촬영했다 등의 내용들이 작성되어 있습니다. 또한 단말 내부에서 수집한 메일주소나 SNS에 사생활이 담긴 동영상을 유포하겠다는 내..

국내외 보안동향 2018. 9. 21. 13:59