안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 일반 사용자들의 스마트폰을 장악해 문자, 녹음, 갤러리 등등 사생활을 몰래 감시하고 정보를 탈취하는 악성 앱은 꾸준하게 발견되고 있습니다. 최근 분석을 어렵게 하기 위해 다양한 방법을 사용한 앱을 발견하였으며, 해당 앱 설치 시 개인정보 유출 및 원격제어가 가능합니다. 여기서 유출된 계정과 기타 정보들은 판매되거나 또 다른 피해를 발생시킬 수 있습니다. 기존 크롬 브라우저 아이콘으로 위장했던 악성 앱은 현재 한국의 우체국과 라인 앱 등으로 위장하고 있습니다. 또한 앱 실행 시 별다른 화면이 나타나지 않고 앱 목록에서 숨김 처리가 이루어집니다. 위의 분석에서 앱 실행 시 화면이 나타나지 않았지만, 이 또한 웹 사이트에 있는 텍스트를 참고하여..

악성코드 분석 리포트 2021. 10. 19. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2020년 11월에 처음 등장한 스네이크 키로거(Snake Keylogger)는 닷넷으로 만들어진 인포스틸러 악성코드로서, 주로 피싱 이메일을 통하여 공격이 이루어지고 지속적으로 유포해오고 있습니다. Snake Keylogger는 여러 웹 브라우저 및 이메일 클라이언트 등 다양한 프로그램의 계정 정보와 이외에도 PC 이름, 스크린샷, 클립보드, 키로깅 기능등 정보 탈취 기능을 가지고 있습니다. 또한, 닷넷 악성코드들은 빌더를 이용해 파일 진단을 회피하고 분석을 어렵기 하기 위한 목적으로 난독화를 수행합니다. 스네이크 키로거(Snake Keylogger)는 처음 나온 이후로 지금까지 꾸준히 유포되고 있고 분석 환경을 우회하기 위해 난독화 수..

악성코드 분석 리포트 2021. 10. 18. 09:00

Researchers Warn of FontOnLake Rootkit Malware Targeting Linux Systems 사이버 보안 연구원들이 크리덴셜을 수집하고 프록시 서버의 기능을 수행하는 것 이외에도 운영자가 원격으로 접근할 수 있도록 설계된 새로운 리눅스 악성코드를 통해 동남아시아의 기업을 노리는 새로운 캠페인을 발견했습니다. 사이버 보안 회사인 ESET에서 "FontOnLake"라 명명한 이 악성 프로그램은 "잘 설계된 모듈"이 특징이며, 광범위한 기능이 지속적으로 업데이트되어 활발한 개발 단계임을 보여줍니다. VirusTotal에 업데이트된 샘플로 미루어볼 때 이 공격은 최소 2020년 5월 시작되었을 가능성이 있습니다. Avast와 Lacework Labs는 동일한 악성코드를 HCRo..

국내외 보안동향 2021. 10. 12. 14:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 몸캠 피싱 공격은 스미싱과 같은 다른 공격들에 비해 공격 빈도가 낮은 편이지만 지속적으로 공격이 이루어지고 있으며 최근까지도 변종이 꾸준히 발견되고 있습니다. 몸캠 피싱은 스마트폰 채팅 앱(랜덤채팅)을 통해 피해자를 찾으며 음란 화상 채팅을 유도하여 피해자의 음란 행위를 녹화합니다. 그리고 피해자의 스마트폰에 악성 앱 설치를 유도하여 피해자의 연락처를 탈취합니다. 이후 음란행위 영상을 지인들에게 유포하겠다는 협박을 통해 금전을 갈취합니다. 몸캠 피싱은 피해자의 음란 영상과 함께 피해자의 지인 연락처가 있어야 협박이 가능하기에 악성앱을 설치하지 않는다면 공격자의 협박을 막을 수 있습니다. 따라서, 출처가 불명확한 URL과 파일은 실행하지 않..

악성코드 분석 리포트 2021. 9. 24. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2021년 올해 첫 새로운 랜섬웨어 패밀리가 발견되었습니다. 이름은 바북 락커(Babuk Locker)이고 지난 4월 워싱턴 DC 경찰서에 침투해 파일을 암호화하고 협박한 것으로 유명합니다. 그러나 얼마 지나지 않아 운영을 중단한 후 5월 말 PayloadBin으로 리브랜딩한 Babuk 랜섬웨어의 소스코드가 한 러시아 해킹 포럼에 게시되었습니다. Babuk 랜섬웨어는 사용자 PC의 데이터를 암호화하여 금전을 요구하는 악성코드입니다. 서비스형 랜섬웨어(RaaS)로 암호화 대상 파일 크기에 따라 암호화 파일 구조가 달라지는 점이 특징입니다. 또한 로컬 드라이브와 네트워크 드라이브로 연결된 모든 파일을 암호화 대상에 포함하고 C&C 연결을 하지..

악성코드 분석 리포트 2021. 9. 23. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 고전적인 수법의 피싱 사기는 현재까지도 지속해서 발생하고 있습니다. 공격자들은 유형만 조금씩 바꿔서 진행하는데, 여러가지 버전의 앱들을 만들고 배포하며 체계적으로 관리합니다. 최근에도 SNS를 통해 본인이 필라테스 강사임을 밝히며 접근해오는 수법으로 피해자를 물색하고 있습니다. 공격자들이 유포하고 있는 앱을 보면 갤러리, 동영상, 보안카메라 등 사진 관련 앱들로 구성되어 있고 주로 영상을 보여주는 것처럼 위장하고 있습니다. 분석 내용을 살펴보면 ‘Trojan.Android.Banker’는 돈을 목적으로 사용자의 정보를 탈취합니다. 현재 감염자는 대략 1,000명이며 지금, 이 순간에도 지속해서 늘어나고 있습니다. 보이스 피싱으로 인해 금전..

악성코드 분석 리포트 2021. 8. 20. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2020년 4월에 처음 등장한 Bazar 악성코드는 미국 및 유럽 전역의 전문 서비스, 의료, 제조, IT, 물류 및 여행 회사를 공격 대상으로 하고 있으며, 주로 피싱 이메일을 통하여 공격이 이루어지고 지속적으로 진화를 거듭해오고 있습니다. Bazar로더는 Trickbot 로더와 마찬가지로 해킹된 유효한 디지털 인증서를 이용하여 탐지를 회피합니다. 그리고 Bazar 로더는 명령 및 제어를 위해 EmerDNS(.bazar) 블록체인 도메인(도메인 차단 방지용)을 사용하여 C2서버와 통신하며, 필요한 API 및 문자열 등이 난독화 되어 있어 자동 및 수동 분석을 방해하고 암호화된 백도어를 메모리에만 로드하여 실행합니다. Bazar 악성코드는..

악성코드 분석 리포트 2021. 8. 19. 09:00

CISA analyzed stealthy malware found on compromised Pulse Secure devices 미국의 사이버 보안 및 인프라 보안국(CISA)이 해킹된 Pulse Secure 기기에서 발견된 악성코드 샘플 13개에 대한 보안 경고를 발표했으며, 이 중 대부분은 안티바이러스 제품에서 탐지되지 않았다고 밝혔습니다. 전문가들은 CISA에서 분석한 악성코드 샘플 중 하나만 VirusTotal에 업로드 되어 있었으며, 탐지율은 매우 낮은 상태라 전했습니다. CISA에서는 각 악성코드에 대한 분석 보고서(MAR)를 발표했으며, 이 보고서에는 공격자가 사용한 기술, 전술, 절차(TTPs), 침해 지표(IOCs)도 포함되어 있습니다. “CISA는 Pulse Secure 해킹 사고와 ..

국내외 보안동향 2021. 7. 23. 09:26