안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(18일) 새벽 국내 불특정다수의 사용자에게 스팸메일로 위장한 크립토재킹 공격이 시도된 정황이 포착되었습니다. 크립토재킹이란 암호화폐를 뜻하는 ‘Cryptocurrency’와 납치를 뜻하는 ‘Hijacking’을 합친 신조어로 사용자의 PC나 스마트폰 자원을 사용자 모르게 암호화폐 채굴에 이용하여 부당이득을 취하는 공격을 뜻합니다. 해당 스팸메일은 주식관련 내용 문구로 위장하고 있으며, 해당 스팸메일 내부에는 코인하이브 코인 채굴코드가 포함되어 있어 크립토재킹 공격을 시도합니다. 일부 사용자들의 경우 공격자의 실수로 html 태그가 잘못 사용되어 코드가 그대로 노출된 이메일을 수신하기도 하였습니다. 해당 메일에 포함되어 있는 링크를 클릭하면..

악성코드 분석 리포트 2018. 9. 19. 08:54

안녕하세요? 이스트시큐리티입니다. 2014년 독일 및 오스트리아 은행 고객을 대상으로 처음 등장한 EMOTET 악성코드가 최근 다시 등장하고 있습니다. EMOTET 악성코드는 사용자 PC를 감염시키고, C&C 통신을 통해서 시스템 정보와 금융 정보를 탈취하는 등의 악성 행위를 시도합니다. EMOTET 악성코드는 주로 이메일을 통해 유포됩니다. 공격자는 이메일 안에 악의적인 스크립트가 포함된 문서 파일을 첨부하거나, 악성코드가 다운로드되는 URL링크를 삽입하는 방식을 사용합니다. 또한 사용자가 관심 가질만한 거래 및 청구서 관련 내용을 포함하여 의심을 최소화하고 악성코드에 감염되도록 유도합니다. 본 보고서에서는 EMOTET 악성코드를 상세 분석 하고자 합니다. 악성코드 상세 분석 1. EMOTET 악성코드..

악성코드 분석 리포트 2018. 4. 23. 08:32

ネット銀行のID・パスワードが盗まれる被害が急増！ 「DreamBot」に感染させるメールが日本を標的に大量送信 최근 일본의 경찰청 사이버범죄부는 인터넷 악성코드 'DreamBot'의 감염피해가 10월 이후 급격히 증가하고 있다며 주의를 당부하였습니다. DreamBot에 감염되어 탈취 된 인터넷 뱅킹 계정들은 2017년 7월~9월에는 월 20건 정도였으나, 10월 이후 월 70건으로 증가했습니다. 일본사이버범죄대책센터(Japan Cybercrime Control Center： JC3)에 따르면, DreamBot 악성코드가 포함된 이메일이 일본을 타겟으로 대량 유포되고 있으며, 이로 인해 일본 내의 감염 피해가 확산되고 있다고 밝혔습니다. 악성 이메일은 실제 조직이나 서비스를 가장하고 있으며 악성 링크가 포함되어 있..

국내외 보안동향 2017. 12. 13. 13:59

또 다시 유포되는 Locky 랜섬웨어 주의! 안녕하세요 알약입니다. 올해 2월에 최초 등장한 후 3월부터 4월까지 유행하였던 Locky 랜섬웨어가 또 다시 대량유포되고 있습니다. Locky 랜섬웨어는 이메일 첨부파일 형태로 유입되고 있으며, js파일 형태를 띄고 있습니다. 사용자 여러분들께서는 모르는 발신인에게서 온 이메일에 포함된 첨부파일 실행을 지양해 주시기 바랍니다. 이번에 유포되고 있는 Locky 랜섬웨어 역시, 알약 랜섬웨어 차단기능으로 정상적으로 차단이 가능합니다. 다만, 알약에서 랜섬웨어가 파일을 암호화 시키는 것은 성공적으로 차단하지만, 랜섬웨어에 의하여 사용자 바탕화면 배경이 변경되어 당황하시는 분들도 있을 것으로 예상되는데요. 이런 상황이 만약 발생하신다면 사용자분들께서 다시 바탕화면 ..

악성코드 분석 리포트 2016. 6. 24. 11:04

LinkedIn(링크드인) 유출된 정보가 스피어피싱에 이용되고 있다.Stolen LinkedIn Data Used in Personalized Email Attacks 저번달, 1억명이 넘는 LinkedIn(링크드인) 사용자들의 계정이 유출되었으며, 이미 유출된 사용자 정보들이 악의적인 공격에 사용되고 있는것으로 확인되었습니다. 최근 지하시장에는 거래되는 사용자 개인정보들은 다양한 방식으로 악의적인 공격에 이용되고 있습니다. 월요일, 독인 연방 CERT(CERT-BUND)는 트위터에서 사용자의 이름 혹은 특징을 언급하며 악성 영수증, 워드문서가 첨부된 이메일을 조심하라고 경고하였습니다. 공격의 타겟이 된 이메일주소들에서 언급된 이름 혹은 기업체들은 모두 LinkdIn 정보유출 사건때 유출된 정보들과 관련..

국내외 보안동향 2016. 6. 14. 15:30

Cerber 랜섬웨어 Dridex 봇넷으로 급증CERBER RANSOMWARE ON THE RISE, FUELED BY DRIDEX BOTNETS Fireeye는 지난 4월부터 스팸을 통해 유포되는 Cerber 랜섬웨어가 급증한 것을 발견했습니다. 연구진들은 Cerber 랜섬웨어의 급증이 Dridex 금융 악성코드와 동일한 스팸구조를 띄고 있다고 밝혔습니다. Cerber 랜섬웨어는 2월 경 처음 발견되었으며, 랜섬 텍스트 메시지를 읽어주는 랜섬웨어로 잘 알려져 있습니다. 기존에는 Adobe Flash Player내 제로데이 취약점(CVE-2016-1019)을 이용한 Magnitude 및 Nuclear 익스플로잇 킷을 이용하여 유포하였습니다. 하지만 최근에 Cerber가 Dridex 봇넷과 연계된 스팸공격..

국내외 보안동향 2016. 5. 17. 09:00

Spyware.Infostealer.AuNet 이번에 분석할 악성코드는 구매 내역 관련 내용이 기재된 메일 혹은 이와 유사한 방식의 금융권에서 발송되는 메일을 가장하고 있으며 주로 이메일을 통해 유포되고 있습니다. 송금정보 등의 단순한 스팸 메일이 아닌, 실제로 자신이 인터넷 상에서 이용한 구매 내역 혹은 결제 관련 내용을 포함하여 사용자들이 해당 메일을 정상 메일로 착각하게 만든 후 악성코드를 실행하도록 유도합니다. 이번 악성코드 분석리포트에서는 이와 같이 구매 내역 관련 메일로 위장하여 배포되는 악성코드에 대해서 살펴보았습니다. 첨부된 PO INQUIRY.PDF.ZIP 파일은 압축실행 형태인 PO INQUIRY.PDF.exe 파일을 포함하고 있습니다. 악성코드 순서도 악성코드 상세 분석 ※ 악성파일 ..

악성코드 분석 리포트 2015. 8. 6. 14:32

PDF 파일 위장한 악성코드가 첨부된 이메일 급증! 안녕하세요. 알약입니다. 최근 PDF 파일을 위장한 악성코드가 첨부된 이메일 공격이 급증하고 있어, 사용자 여러분의 주의를 당부 드립니다. 해당 이메일은 영문으로 작성되어 있으며, 특별한 내용 없이 Open attached document라고 쓰여 있습니다. 이메일에는 PDF 파일로 위장한 EXE파일이 zip파일 형식으로 첨부되어 있습니다. 사용자가 해당 압축 파일을 풀어 실행하면 악성코드에 감엽됩니다. 이후 악성코드는 사용자 시스템에 등록되어 있는 아웃룩 주소를 통해, 대량의 스팸메일을 불특정 다수에게 전송합니다. 이메일에 첨부된 악성파일은 PDF 파일 아이콘으로 조작되었으며, 발송되는 이메일 내용 자체는 일반 스팸메일과 동일하나, 발신자 주소가 조직..

이스트시큐리티 소식 2015. 3. 6. 16:17