안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 북한의 사이버 공격이 지속적으로 이어지고 있습니다. PC 환경은 물론 모바일 기기를 향한 공격 빈도도 증가하고 있습니다. 김수키(Kimsuky)로도 알려진 탈륨(Thallium) 그룹이 유포한 “Trojan.Android.AgentNK”는 피해자의 개인 정보 탈취를 목적으로 하고 있습니다. 개인의 일상과 밀접하게 연결된 모바일 기기의 특성상 개인 정보가 많을 수밖에 없으며 공격자들은 이점을 노리고 모바일 기기 대상의 악성 앱을 유포하는 것입니다. 분석 내용을 살펴보면 Trojan.Android.AgentNK는 피해자의 개인 정보 탈취를 주요 목적으로 하고 있음을 알 수 있습니다. 그리고 탈취한 개인 정보들을 바탕으로 추가 공격을 감행할 것..

악성코드 분석 리포트 2021. 1. 21. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 ‘Spyware.AgentTesla’(이하 ‘AgentTesla’) 악성코드가 국내 기업을 대상으로 무역 관련 내용의 악성 메일로 유포되고 있습니다. 메일 첨부 파일에 있는 ‘New Inquiry #20004546.gz’ 내 ‘New Inquiry #20004546.exe’에서 실행이 이루어집니다. 실행되는 ‘AgentTesla’는 SMTP를 통해 C&C로 감염 PC의 정보를 전송하는 악성코드입니다. 따라서 감염될 경우 사용자들이 사용하는 크리덴셜 정보들이 공격자에게 노출될 수 있어 주의가 필요합니다. 또한 기업 혹은 최근 재택근무 환경에서 감염이 되는 경우, 크리덴셜 정보의 유출에 따른 피해가 발생할 수 있어 주의가 필요합니다. 현..

악성코드 분석 리포트 2021. 1. 20. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 11월에 발견된 ‘Trojan.Android.AgentNK’는 코니(Konni) APT 조직이 유포한 공격 앱으로 암호화폐 관련 앱으로 위장하여 유포되었습니다. 악성 앱의 주요 목표는 피해자의 개인 정보 탈취에 있습니다. [그림] 악성 앱 설치 화면 이런 공격은 부지불식간에 당하기 마련이기에 사용자의 예방 노력이 무엇보다 중요합니다. 앱 설치 시 본인의 스마트폰이 위협에 노출될 수 있음을 인지하고 주의를 기울여야 하며 알약M과 같은 신뢰할 수 있는 백신을 사용해야 합니다. 현재 알약M에서는 해당 앱을 ‘Trojan.Android.AgentNK’ 탐지 명으로 진단하고 있으며, 관련 상세 분석보고서는 Threat Inside 웹서비스 구독을 ..

악성코드 분석 리포트 2020. 12. 17. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 다크 웹 유출 정보 공개 사이트에 국내 기업 정보가 기재되었고 유출한 자료가 다크 웹에 공개될 수 있다고 협박을 받고 있는 것으로 알려졌습니다. 작년 처음 등장한 신종 랜섬웨어로 사용자의 파일을 암호화하여 금전을 요구하는 악성코드입니다. [그림] ‘LockBit-note.hta’ 실행 화면 ‘Trojan.Ransom.LockBit’ 랜섬웨어는 파라미터에 따라 특정 파일/경로와 로컬 PC와 연결된 네트워크 리소스 전체를 암호화한다는 점이 특징입니다. 추가로 로컬 드라이브와 네트워크 드라이브로 연결된 모든 파일이 암호화 대상에 포함되기 때문에 폐쇄망을 사용하는 기업 또한 랜섬웨어 공격에 주의가 필요합니다. 따라서 랜섬웨어를 예방하기 위해..

악성코드 분석 리포트 2020. 12. 16. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 해당 악성 앱은 xloader 유형으로 최근 스미싱을 통해서 유포되고 있습니다. 다운로드 단계부터 앱 설치까지 탐지 회피를 위해서 다양한 방법을 사용합니다. 다운로드 단계에서는 url 리디렉션을 통해서 난독화 된 자바스크립트나 클라우드 서비스를 이용합니다. 앱 설치 이후 단계에서는 숨겨진 악성코드가 들어 있는 파일을 복호화 후 동적 로딩을 이용합니다. [그림] 클라우드를 활용한 악성 앱 배포 해당 악성 앱은 유포 단계에서부터 탐지 회피를 위하여 다양한 방법을 활용하면서 스미싱으로 유포됐습니다. 자바스크립트 난독화와 파일 암호화를 통해서 탐지를 회피하며 기기를 완전히 장악하고 개인 정보와 기기 정보를 탈취합니다. 따라서, 악성 앱으로부터 피..

악성코드 분석 리포트 2020. 11. 18. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 국내 기업에 [사람인] 입사지원서를 위장한 메일이 유포되었습니다. 공격자는 아래의 메일을 통해 이용자에게 'Permission_301859804_09172020.zip' 첨부파일 실행을 유도합니다. 'Permission_301859804_09172020.zip' 에는 'Permission_301859804_09172020.xls' 엑셀파일이 있고, 이를 실행하게 되면 Trojan.Agent.QakBot(이하 Qbot) 뱅킹 트로이목마 악성코드에 감염됩니다. [그림] 수신된 이메일 화면 본 악성코드는 C&C에서 브라우저, 뱅킹 정보 탈취 관련 추가 모듈 등을 다운받는 것으로 알려져 있어, 특히 기업체에서 감염이 되는 경우 큰 피해가 발..

악성코드 분석 리포트 2020. 11. 17. 13:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 통칭 ‘Dridex’ 라고 불리는 금융 정보 탈취 악성코드가 해외에서 기업을 대상으로 공격이 이루어졌습니다. 이 악성코드는 2014년부터 발견되어 최근까지도 대량 유포 중이며 이를 제작한 그룹은 뛰어난 기술력을 소유한 ‘Evil Corp’ 또는 ‘TA505’로 해킹 그룹의 소행으로 알려져 있습니다. 지난 9월 다음과 같은 메일이 수신되었습니다. 운송회사를 사칭한 메일로 연체된 송장을 확인하라는 내용입니다. [그림] 이메일 화면 특히 TA505그룹은 축적된 기술로 인하여 분석 및 탐지가 어려운 특징이 있습니다. 과거에는 국외에서 다량 유포되고 있지만 최근 국내 기업을 대상으로도 유포가 되고 있어 사용자들의 주의가 필요합니다. 따라서 이러한 ..

악성코드 분석 리포트 2020. 10. 20. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 해당 악성 앱은 사이버 검찰청 사칭 스미싱을 통해서 유포되었으며 SO 파일을 이용하여 C2를 암호화하고 숨깁니다. 구글 플레이스토어와 비슷한 아이콘을 이용해서 사용자를 속이며 기기 정보와 문자 메시지 관련 정보를 탈취합니다. 앱 명은 ‘App Stare’를 사용하며 아이콘은 구글 플레이스토어를 사칭합니다. 앱 실행 시 초기화 단계에서 SO 파일을 로드하며 기기 부팅 시 재시작되도록 설정돼 있습니다. [그림] 앱 아이콘 해당 악성 앱은 사이버 검찰청을 사칭한 스미싱으로 유포됐습니다. SO 파일을 이용하여 C2를 숨기고 있으며 기기 정보와 문자 정보를 탈취합니다. 따라서, 악성 앱으로부터 피해를 최소화하기 위해서는 백신 앱을 통한 주기적인 검..

악성코드 분석 리포트 2020. 9. 16. 09:00