안녕하세요? 이스트시큐리티입니다. 최근 Facebook 아이콘으로 위장한 랜섬웨어가 등장해 사용자의 각별한 주의가 필요합니다. Facebook 악성코드는 히든티어(Hidden Tear) 오픈소스를 기반으로 제작된 랜섬웨어로, 사용자의 중요 파일을 암호화 한 뒤 ‘.Facebook’ 확장자를 추가합니다. 공격자는 이를 복호화해주는 대가로 0.29 비트코인을 요구하며 금전적인 이득을 목적으로 하고 있습니다. 본 보고서에서는 Facebook으로 위장한 랜섬웨어 행위와 이를 예방하기 위한 방법을 알아보고자 합니다. 악성코드 상세 분석 이번에 발견된 Facebook 랜섬웨어는 다음과 같이 실제 Facebook 아이콘을 사용합니다. 또한 파일 속성에 Facebook Official이라는 설명을 사용하면서 정상 파일..

악성코드 분석 리포트 2018. 12. 13. 21:21

Fractured Block Campaign: CARROTBAT dropper dupports a dozen decoy document formatsSecurity Affairs Palo Alto Networks의 연구원들이 최근 많은 페이로드를 드랍하기 위해 수십여 개의 미끼 파일 포맷을 지원하는 악성코드 드롭퍼인 CARROTBAT을 발견했습니다. CARROTBAT은 2018년 3월 처음 발견 되었지만, 지난 3개월 동안 연구원들은 이 드롭퍼 관련 활동이 급격히 증가한 것을 발견했습니다. CARROTBAT은 대한민국과 북한 지역에 페이로드를 드랍하기 위해 사용 되었습니다. 공격자들은 미끼 문서에 가상화폐, 가상화폐 거래 및 정치 이벤트와 같은 주제를 사용했습니다. 또한 작년 12월, CARROTBAT은..

국내외 보안동향 2018. 12. 6. 15:08

The SLoad Powershell malspam is expanding to Italy 최근 새로운 악성 스팸 캠페인이 이탈리아를 공격하고 있습니다. 공격자들은 sLoad라는 강력한 다운로더의 새로운 변종을 확산 중입니다. sLoad는 정교한 스크립트로 과거 “Ramnit 뱅커”등과 같은 무서운 악성코드 다수를 배포하는데 사용되어 왔습니다. “CERT-Yoroi는 지난 몇 달 동안 선거구를 대상으로 한 새로운 공격 패턴을 발견했습니다. 이 일련의 악성 메일은 이탈리아의 사이버 세계를 노리는 작전을 시작한 한 공격 그룹과 연관 되어있는 것으로 보이는 일반적인 기술들을 공유했습니다.” “이러한 공격 시도가 TTP를 변경한 사이버 범죄 그룹에 의한 것인지, 아니면 완전히 새로운 집단의 짓인지는 아직까지 확..

국내외 보안동향 2018. 11. 30. 09:31

안녕하세요? 이스트시큐리티입니다. 최근 사용자 PC를 감염시켜 사용자 정보를 탈취하는 Infostealer유형의 악성코드가 꾸준히 발견되고 있습니다. 이번에 발견된 악성코드는 분석 시스템 또는 분석가를 통한 분석을 회피하기 위한 기술들이 다수 적용되어 있습니다. 감염 PC의 분석 환경 구성 여부를 확인하여 악성 행위를 수행할 것인지 결정하는 것이 특징입니다. 이번 보고서에서는 해당 악성코드에 적용된 기술들과 악성 행위에 대해서 상세하게 알아보고자 합니다. 악성코드 상세 분석 1. 가상 환경 탐지 및 분석 회피 공격자는 악성코드 분석 시스템 또는 분석가를 통한 분석을 방해하기 위하여 가상 환경 탐지, 안티디버깅 등을 사용합니다. 이를 통해 분석 환경이 탐지되면 악성 행위를 수행하지 않고 종료합니다. 1) ..

악성코드 분석 리포트 2018. 11. 21. 13:00

New Strain of Olympic Destroyer Droppers 지난 몇 주 동안, 우리는 악명 높은 올림픽 디스트로이어(Olympic Destroyer) 공격의 배후에 있는 APT 그룹인 Hades의 새로운 활동을 발견했습니다. 게다가 새로운 공격은 이전 공격들과 많은 부분을 공유하지만, 해당 그룹이 진화했다는 것을 알 수 있는 중요한 변화를 목격할 수 있었습니다. 우리는 발견한 샘플을 통해 이 그룹이 다양한 분야를 연구했으며 연구원들이 공격을 탐지하기 어렵도록 만들기 위해 노력하고 있다는 것을 알 수 있었습니다. 시작 2018년 한국에서 개최된 동계 올림픽을 노린 사이버 공격은 짧은 시간 동안 이 행사의 IT 인프라를 방해했습니다. 하지만 이는 많은 언론의 헤드라인을 장식했으며, 보안 커뮤니..

국내외 보안동향 2018. 11. 16. 18:32

안녕하세요? 이스트시큐리티입니다. 딥러닝 기반 악성코드 위협 대응 솔루션 'Threat Inside(쓰렛인사이드)' 출시를 기념하여, 최신 보안 동향과 전문가 해석 정보를 담은 데일리 리포트 서비스인 '시큐리티 브리핑'을 3개월 간 무료로 제공하는 이벤트를 진행합니다. '시큐리티 브리핑’이란?Threat Inside의 유료 고객에게만 제공되는 국내 최초 데일리 리포트 서비스로, 이스트시큐리티 시큐리티대응센터(ESRC)가 매일 발생하는 중요한 보안 이슈와 동향을 선별해 브리핑한 정보를 뉴스레터 방식으로 발송하는 서비스입니다. Threat Inside의 인텔리전스 리포트 서비스 중 하나인 ‘시큐리티 브리핑’은 기업과 기관의 보안 담당자가 매일 숙지해야 할 국내외 주요 보안 이슈와 동향을 쉽고 편리하게 제공받..

이스트시큐리티 소식/이벤트 2018. 11. 13. 10:03

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. ESRC에서는 최근 발견된 KRBanker 악성앱이 기존의 KRBanker보다 한층 더 정교하고 교묘하게 공격하도록 제작되어 유포되고 있는 것을 확인했습니다. 특히, 이 악성앱은 마치 스미싱과 보이스피싱 등이 결합된 형태로 진화된 형태로 볼 수 있습니다. 이 악성앱은 248개의 금융기관 전화번호로 발신을 감시하며 피해자가 특정 금융기관에 통화를 시도할 경우 보유하고 있는 음성 녹음 파일을 재생하고, 공격자에게 전화통화를 포워딩 하는 기능을 가지고 있습니다. 이때부터는 일종의 보이스피싱으로 사이버범죄가 진행될 수 있습니다. 해당 악성앱은 최근 이슈가 되고 있는 샘플로서 인증서 생성 시간은 2018년 11월 06일로 최근에 제작된 샘플이라는 ..

악성코드 분석 리포트 2018. 11. 7. 15:55

Emotet Trojan Begins Stealing Victim's Email Using New Module Emotet 악성코드는 뱅킹 트로이목마나 다른 악성코드를 배포하는데 사용 되어왔지만, 6개월 전부터 사용자의 이메일을 훔치는 모듈을 추가해 더욱 기능이 다양해졌습니다. 예전에는 Emotet은 피해자의 이메일 주소만을 훔쳤지만, 이 새로운 버전은 데이터 탈취 및 기업 스파잉행위를 더욱 쉽도록 하는 기능을 추가했습니다. 또한 이 기능은 이미 악성코드에 감염 된 모든 시스템에 배포될 수 있습니다. Kryptos Logic의 보안 연구원들은 Emotet의 이메일 수집 모듈을 분석한 결과, 이 모듈이 이메일의 제목과 내용까지 추출해낼 수 있는 기능으로 더욱 강화된 것을 발견했습니다. 연구원들은 금일 발행..

국내외 보안동향 2018. 11. 1. 16:36