안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다.최근 비트코인 등과 관련된 내용으로 악성파일이 여럿 유포된 정황이 포착되어 이용자 분들의 주의를 당부드립니다. 악성파일은 이메일에 첨부되어 특정인을 대상으로 한 이른바 스피어피싱(Spear Phishing) 공격 기법이 사용되었습니다. 공격에는 DOCX 문서와 HWP 문서 등에 삽입된 EPS(Encapsulated PostScript) 개체의 보안취약점을 이용하고 있습니다. 첫번째로 DOCX 악성문서를 악용한 사례입니다. [그림 1] 악성 DOCX 문서가 실행된 후 보여지는 화면 DOCX 악성 문서의 word/media 하위 경로에 'image1.eps' 파일이 포함되어 있습니다. EPS(Encapsulated PostScript)는 Adobe..

악성코드 분석 리포트 2017. 7. 3. 22:18

[6월 다섯째주] 알약 스미싱 알림 본 포스트는 알약 안드로이드 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'와 '다수 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 1. 특이 문자 No.문자 내용 1 [Web발신] 혼례참석해주셔서고맙습니다 혼례식포토보내드립니다 항상건강하세요^^2 [Web발신] 저희새인생의시작에귀한발걸음해주셔서감사합니다 포토보내드립니다 2. 다수 문자 No.문자 내용 1 저희두사람사랑의결실을이루려합니다 일시:7월3일 장소:뉴메리 2 [Web발신] 대한통운 미확인 물품이 존재합니다 확인 부탁드립니다 출처 : 알약 안드로이드기간 : 2017년 6월 24일 ~ 6월 30일

안전한 PC&모바일 세상/스미싱 알림 2017. 6. 30. 09:21

Rufus malware used to empty ATMs running outdated OS in India 윈도우 XP를 사용하는 인도의 ATM들이 Rufus 악성코드의 공격을 받았습니다. 최근, 유럽의 여러 국가를 돌며 ATM기기에서 돈을 훔친 혐의로 27명의 사람들이 유로폴에 체포되었는데, 이들은 ATM을 타겟으로 한 악성코드를 유포하여 범죄를 저질렀습니다. 마지막으로 발견된 위협은 인도 ATM기기에서 발견된 Rufus 악성코드로, 인도당국은 이미 해당 악성코드를 이용한 다수의 공격을 발견하였습니다. Rufus 악성코드는 구 버전의 OS를 사용하는 ATM기기들을 공격대상으로 하며, 실제로 이미 감염된 ATM기기들은 여전히 서비스가 종료된 윈도우XP를 사용하고 있었습니다. 이 공격자들은 별도의 방범..

국내외 보안동향 2017. 6. 21. 10:29

최근 ‘이력서 검색기’ 이름으로 위장된 악성코드가 토렌트 사이트를 통해 유포되고 있어, 이용자들의 주의를 당부 드립니다. [그림 1] 토렌트 사이트에서 유포되는 이력서 검색기 ※ 관련 글가짜 보안 프로그램의 역습, 불법 소프트웨어 주의보 ▶ 자세히 보기 다운로드된 ‘이력서 검색기 v2017.exe’는 인터넷에 공개된 이력서 샘플을 아이콘으로 하고 있어, 마치 실제 이력서 관련 프로그램인 것처럼 보여주고 있습니다. 취업 등에 관심 많은 이용자가 현혹되어 파일을 실행할 경우 로컬 PC에 아무것도 실행이 되지 않은 것처럼 보이지만, 실제로는 이용자 PC의 정보를 탈취하는 악성코드가 실행됩니다. [그림 2] 이력서 검색기로 위장한 악성코드 실행되는 악성코드는 한국 소재의 C&C인 ‘59.10.197.88’으로 ..

악성코드 분석 리포트 2017. 6. 13. 15:38

안녕하세요. 이스트시큐리티입니다.지난 주말(6/10) 특정 웹호스팅 업체에서 운영중인 리눅스 서버가 랜섬웨어에 감염되었습니다. 이에 해당 웹호스팅 서비스를 사용하는 많은 사이트들이 랜섬노트를 띄우거나 정상적으로 사이트를 이용할 수 없는 사태가 발생했습니다. ※ 관련 글 - 국내 특정 웹호스팅 서비스를 사용하는 사이트를 공격한 Erebus 랜섬웨어 (▶바로가기) 공격을 받은 웹호스팅 업체에서 언급한 바에 따르면 서버에 저장된 원본파일과 백업파일이 모두 암호화된 상황으로 보이며, 이는 몇 년전에 최초 발견된 랜섬웹 케이스와 가장 유사해보입니다. 랜섬웹은 랜섬웨어와 비교했을 때, 암호화하는 데이터의 규모가 크고 가치가 높으며, 준비기간이 길다는 특징이 있습니다. ※ 관련 글 - 랜섬웹이란? (▶바로가기) [그..

악성코드 분석 리포트 2017. 6. 13. 15:21

워너크라이 랜섬웨어 화면으로 위장한 모바일 랜섬웨어 등장 안녕하세요. 이스트시큐리티입니다.최근 중국에서 千变语音(음성변경), 千变语音秀(음성변화 쇼), 主流影视大全(주요 영화 및 TV) 등의 이름으로 위장한 모바일 랜섬웨어가 확인되어 이용자들의 주의를 당부 드립니다. [그림 1] 모바일 랜섬웨어 설치 화면 이번에 발견된 모바일 랜섬웨어는 올해 5월경, 전세계적으로 이슈가 되었던 워너크라이(WannaCry) 랜섬웨어의 결제화면을 이용하고 있습니다. [그림 2] 모바일 랜섬웨어 감염 화면 [그림 3] 랜섬웨어에 감염된 단말기 화면 공격자는 피해자에게 암호화된 파일을 복호화하려면 20위안(한화 약 3,300원)을 Alipay, WeChat, QQ로 결제해야 한다고 협박합니다. [그림 4] 지불 수단 안내 메시..

악성코드 분석 리포트 2017. 6. 8. 16:01

범죄자들, 파워포인트 프레젠테이션을 통해 악성코드를 배포하는 새로운 기술 사용해Crooks leverages a new technique to deliver Malware via PowerPoint presentations 최근 공격자들이 파워포인트를 통한 악성코드 배포 기술을 사용하고 있는 것으로 밝혀졌습니다. 해당 공격은 현재 성행 중인 것으로 확인되어, 사용자들의 주의가 필요합니다. 연구원들은 최근 PowerShell 코드를 실행하기 위해 마우스오버 이벤트를 악용한 여러 개의 파워포인트 파일들을 발견했습니다. 공격자들은 “Purchase Order #130527”, “Confirmation”이라는 제목으로 “order.ppsx” 또는 “invoice.ppsx”라는 이름으로 스팸 메시지에 포함되어 있..

국내외 보안동향 2017. 6. 7. 16:10

유명 통신사 사칭한 피싱 메일 주의! 안녕하세요. 이스트시큐리티입니다. 최근 5월 초부터 현재까지 SKTelecom을 사칭한 이메일 피싱 공격이 계속해서 포착되고 있어, 사용자 분들의 주의를 당부 드립니다. 이번 메일은 ‘SKTelecom2017년4월e-메일 요금청구서내역’이라는 제목으로 이메일 요금청구서를 위장하여 불특정 다수에게 유포되고 있습니다. 실제 SKTelecom로고가 들어간 이미지를 사용하면서 수신자에게 신뢰감을 주며, 정상적인 메일처럼 보이도록 위장한 점이 특징입니다. [그림 1] SKTelecom을 사칭한 메일 화면 메일 발송자는 수신자가 ‘요금청구서다운로드’ 링크를 클릭하여 ‘SKT_Email_201704.zip’파일을 다운로드 받도록 유도합니다. 악성파일을 다운로드 받을 수 있는 사이..

이스트시큐리티 소식 2017. 6. 2. 17:34