안녕하세요. 이스트 시큐리티 시큐리티 대응센터(이하 ESRC)입니다. 최근 중요 파일로 위장한 악성코드가 다량으로 발견되고 있는 정황이 포착되어 기업 담당자와 개인 사용자의 주의가 필요합니다. 아래는 ESRC에서 발견한 악성 파일 이름 목록입니다. 관리정산 및 모든자료_xls(3).scr전체정산표_및_관리자정보.zip전체정산표 및 관리자정보.xlsx .exe팬더티비 유출검색.zip1번 중요![검색서치]필수먼저키세요.exe2번 검색용(누르셔서bj명입력).exe기업은행 2020-11-13 입출금 거래내역.xlsx .exe전체회원정보 및 비밀번호포함_xls(4).scr거래안내_및_가격표_신청안내_xls3.exe[표 1] 악성 파일 이름 목록 전체회원정보 및 비밀번호포함_xls(4..

악성코드 분석 리포트 2020. 11. 30. 14:59

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 해당 악성 앱은 xloader 유형으로 최근 스미싱을 통해서 유포되고 있습니다. 다운로드 단계부터 앱 설치까지 탐지 회피를 위해서 다양한 방법을 사용합니다. 다운로드 단계에서는 url 리디렉션을 통해서 난독화 된 자바스크립트나 클라우드 서비스를 이용합니다. 앱 설치 이후 단계에서는 숨겨진 악성코드가 들어 있는 파일을 복호화 후 동적 로딩을 이용합니다. [그림] 클라우드를 활용한 악성 앱 배포 해당 악성 앱은 유포 단계에서부터 탐지 회피를 위하여 다양한 방법을 활용하면서 스미싱으로 유포됐습니다. 자바스크립트 난독화와 파일 암호화를 통해서 탐지를 회피하며 기기를 완전히 장악하고 개인 정보와 기기 정보를 탈취합니다. 따라서, 악성 앱으로부터 피..

악성코드 분석 리포트 2020. 11. 18. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 국내 기업에 [사람인] 입사지원서를 위장한 메일이 유포되었습니다. 공격자는 아래의 메일을 통해 이용자에게 'Permission_301859804_09172020.zip' 첨부파일 실행을 유도합니다. 'Permission_301859804_09172020.zip' 에는 'Permission_301859804_09172020.xls' 엑셀파일이 있고, 이를 실행하게 되면 Trojan.Agent.QakBot(이하 Qbot) 뱅킹 트로이목마 악성코드에 감염됩니다. [그림] 수신된 이메일 화면 본 악성코드는 C&C에서 브라우저, 뱅킹 정보 탈취 관련 추가 모듈 등을 다운받는 것으로 알려져 있어, 특히 기업체에서 감염이 되는 경우 큰 피해가 발..

악성코드 분석 리포트 2020. 11. 17. 13:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 마치 북한의 최근 내부 소식인 듯 현혹하는 악성 HWP 문서 파일 공격이 발견돼 각별한 주의가 필요합니다. 문서를 실행하면 깨진 글자 들이 보여지며 "호환 문서" 메세지 박스를 출력 합니다. [그림 1] HWP 실행 화면 만약 사용자가 문서를 확인하기 위해 프로그램을 선택하면 [그림 2]와 같은 보안 경고 화면을 출력해 한번 더 사용자의 클릭을 유도합니다. [그림 2] 보안 경고 화면 만약 사용자가 “열기”를 클릭하면 %temp%아래 "호환 문서 프로그램 실행.lnk", "qwer1234.txt" “qwer1234.tmp”파일들이 드롭되고 명령어가 실행됩니다. %comspec% /c cd "%userprofile%\AppData\Local\Te..

악성코드 분석 리포트 2020. 10. 30. 16:25

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 견적 요청 메일로 위장한 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다 이번에 발견된 메일은 “견적요청”이라는 제목으로 전파되었으며, 특정 기업에서 발송한 것처럼 사용자를 속여 메일에 포함된 첨부파일 “Purchase order.xlsx”의 클릭을 유도하고 있습니다. [그림 1] 견적 요청 메일로 위장한 피싱 메일 사용자가 피싱메일에 첨부된 파일을 다운로드하여 실행할 경우, MS Office 엑셀파일이 오픈되며 전체 파일 내용 확인을 위해 본문에 포함된 링크를 클릭 할 경우 개인 정보 탈취를 목적으로 제작된 외부 사이트로 이동 합니다. - 개인정보 수집 사이트hxxps://man2deliserdang.sch.id/xel/view.php - 개..

악성코드 분석 리포트 2020. 10. 28. 14:30

안녕하세요? 이스트 시큐리티 ESRC(시큐리티대응센터)입니다. 금일 ZLoader 악성코드가 국내에서 이메일을 통해 유포됨을 확인하였습니다. 이메일은 “당신의 사업이 조만간 정지될 것이다”의 내용으로 첨부된 URL을 실행하도록 유도합니다. [그림 1] 사업 정지 내용의 악성 메일 화면 이용자가 문서 확인을 위해 이메일 내 링크를 클릭하게 되면은 구글 문서가 열립니다. 그리고, ‘Click here to download the document’를 한차례 더 누를 경우, ‘https://donwloadfiles[.]top/download.php’에서 ‘details1910p.xls’ 엑셀 파일이 다운로드됩니다. [그림 2] 연결된 구글 드라이브 화면 문서 실행 시 아래와 같이 매크로 실행을 유도하는 화면이 ..

악성코드 분석 리포트 2020. 10. 21. 13:45

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 통칭 ‘Dridex’ 라고 불리는 금융 정보 탈취 악성코드가 해외에서 기업을 대상으로 공격이 이루어졌습니다. 이 악성코드는 2014년부터 발견되어 최근까지도 대량 유포 중이며 이를 제작한 그룹은 뛰어난 기술력을 소유한 ‘Evil Corp’ 또는 ‘TA505’로 해킹 그룹의 소행으로 알려져 있습니다. 지난 9월 다음과 같은 메일이 수신되었습니다. 운송회사를 사칭한 메일로 연체된 송장을 확인하라는 내용입니다. [그림] 이메일 화면 특히 TA505그룹은 축적된 기술로 인하여 분석 및 탐지가 어려운 특징이 있습니다. 과거에는 국외에서 다량 유포되고 있지만 최근 국내 기업을 대상으로도 유포가 되고 있어 사용자들의 주의가 필요합니다. 따라서 이러한 ..

악성코드 분석 리포트 2020. 10. 20. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 해당 악성 앱은 사이버 검찰청 사칭 스미싱을 통해서 유포되었으며 SO 파일을 이용하여 C2를 암호화하고 숨깁니다. 구글 플레이스토어와 비슷한 아이콘을 이용해서 사용자를 속이며 기기 정보와 문자 메시지 관련 정보를 탈취합니다. 앱 명은 ‘App Stare’를 사용하며 아이콘은 구글 플레이스토어를 사칭합니다. 앱 실행 시 초기화 단계에서 SO 파일을 로드하며 기기 부팅 시 재시작되도록 설정돼 있습니다. [그림] 앱 아이콘 해당 악성 앱은 사이버 검찰청을 사칭한 스미싱으로 유포됐습니다. SO 파일을 이용하여 C2를 숨기고 있으며 기기 정보와 문자 정보를 탈취합니다. 따라서, 악성 앱으로부터 피해를 최소화하기 위해서는 백신 앱을 통한 주기적인 검..

악성코드 분석 리포트 2020. 9. 16. 09:00