안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 최근 ‘청년인턴 합격자 발표 내용의 보도자료’로 위장한 ‘청년인턴.pdf .exe’ 랜섬웨어 악성 파일이 발견되어 이용자들의 주의를 당부드립니다. 특징적으로 공격자는 pdf가 아닌 pdx 아이콘을 사용하였는데, pdx 확장자는 어도비 아크로뱃 리더 인덱스 파일을 의미합니다. [그림 1] PDX 아이콘으로 위장한 랜섬웨어 파일 청년인턴.pdf .exe 분석 ‘청년 인턴.pdf .exe’는 7Zip SFX로 되어 있고, C:\NewFolder\에 org.pdf, result.exe 파일을 드롭 및 실행합니다. [그림 2] ‘청년 인턴.pdf .exe’ 파일 내부 화면 실행되는 ‘org.pdf’ 파일 내용은 아래와 같습니다. [그림 3] ‘org.p..

악성코드 분석 리포트 2020. 10. 28. 14:05

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 유명 기업을 사칭하여 국내 유명 포털사이트 계정을 노리는 피싱메일들이 발견되고 있어 사용자의 주의가 필요합니다. 이번에 발견된 메일은 “RE: POSCO.CO.,LTD” 라는 제목으로 수신되었으며 주문한 신제품에 대한 견적을 첨부된 파일을 통해 확인하라는 내용으로 사용자의 클릭을 유도하여 사용자의 포털사이트 계정을 탈취하기 위한 목적으로 발송되었습니다. [그림1] 포털사이트 계정 탈취를 위한 피싱 공격 이메일 화면 사용자가 신제품 견적을 확인하기 위해 첨부 된 파일을 다운로드하여 실행 할 경우, 포털사이트 계정과 패스워드를 가로채기 위한 피싱 페이지가 브라우저로 연결됩니다. [그림2] 브라우저로 동작 된 국내 포털사이트 피싱 페이지 화면 사용자가 피싱..

악성코드 분석 리포트 2020. 10. 27. 09:25

안녕하세요? 이스트 시큐리티 ESRC(시큐리티대응센터)입니다. 금일 ZLoader 악성코드가 국내에서 이메일을 통해 유포됨을 확인하였습니다. 이메일은 “당신의 사업이 조만간 정지될 것이다”의 내용으로 첨부된 URL을 실행하도록 유도합니다. [그림 1] 사업 정지 내용의 악성 메일 화면 이용자가 문서 확인을 위해 이메일 내 링크를 클릭하게 되면은 구글 문서가 열립니다. 그리고, ‘Click here to download the document’를 한차례 더 누를 경우, ‘https://donwloadfiles[.]top/download.php’에서 ‘details1910p.xls’ 엑셀 파일이 다운로드됩니다. [그림 2] 연결된 구글 드라이브 화면 문서 실행 시 아래와 같이 매크로 실행을 유도하는 화면이 ..

악성코드 분석 리포트 2020. 10. 21. 13:45

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 국내 암호화폐 사이트의 계정을 노리는 문자메시지가 발견되어 사이트 사용자들의 주의가 필요합니다. 이번에 발견된 문자메시지는 “고객님계정 해외IP-103.208.220.195에서 로그인되였습니다. 본인이아닐경우에는 해외IP차단해주세요. www.coinoner[.]com” 내용으로 특정 코인 거래 사용자들에게 보내지고 있습니다. 문자메시지를 받은 코인 거래 사용자가 본인의 계정확인을 위해 문자메시지 내에 기재된 링크로 연결할 경우 사용자의 계정과 패스워드를 가로채기 위한 피싱 사이트로 연결됩니다. [그림1] 문자메시지에 기재된 피싱 사이트 화면 피싱 사이트에는 최근 피싱 피해나 암호화폐 거래 대행에 대한 주의사항을 보여줌으로써 사용자들에게 실제 거래 사이..

악성코드 분석 리포트 2020. 10. 21. 11:44

안녕하세요? 이스트시큐리티입니다. 오늘은 이스트시큐리티의 서버용 엔드포인트 위협 대응 솔루션 '알약 EDR 서버'가 GS(Good Software) 인증 1등급을 획득했다는 소식 전달드립니다. [그림1] 알약 EDR 서버 1.0 제품 패키지 이미지 GS(Good Software) 인증이란? GS 인증은 한국정보통신기술협회(TTA) 등 국가 공인 인증 기관이 국제 표준에 따라 소프트웨어의 기능, 성능, 사용성, 신뢰성, 보안성 등을 평가하고 그 품질을 인증하는 제도로, 인증을 획득한 제품은 공공기관 사업 발주 시 우선 구매 대상으로 지정됩니다. 새롭게 GS 인증을 획득한 '알약 EDR 서버'는 기존 2만여 명의 사용자를 보유한 알약 EDR의 서버용 솔루션으로, 기업과 기관에서 보유한 윈도 서버의 엔드포인트..

이스트시큐리티 소식 2020. 10. 21. 09:58

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 통칭 ‘Dridex’ 라고 불리는 금융 정보 탈취 악성코드가 해외에서 기업을 대상으로 공격이 이루어졌습니다. 이 악성코드는 2014년부터 발견되어 최근까지도 대량 유포 중이며 이를 제작한 그룹은 뛰어난 기술력을 소유한 ‘Evil Corp’ 또는 ‘TA505’로 해킹 그룹의 소행으로 알려져 있습니다. 지난 9월 다음과 같은 메일이 수신되었습니다. 운송회사를 사칭한 메일로 연체된 송장을 확인하라는 내용입니다. [그림] 이메일 화면 특히 TA505그룹은 축적된 기술로 인하여 분석 및 탐지가 어려운 특징이 있습니다. 과거에는 국외에서 다량 유포되고 있지만 최근 국내 기업을 대상으로도 유포가 되고 있어 사용자들의 주의가 필요합니다. 따라서 이러한 ..

악성코드 분석 리포트 2020. 10. 20. 09:00

안녕하세요? 이스트시큐리티입니다. 모바일 그린라이프를 실천함과 동시에 혜택을 쌓을 수 있는 리워드 서비스! 알약M 그린약방 리워드 서비스가 출시되었습니다. 알약M 그린약방은 사용자님들이 모바일 기기를 안전하고 깨끗하게만 지키시면 자연스럽게 따라오는 리워드 서비스입니다. '매일매일 쌓는 깨끗한 보안습관' 의 의미에 맞게 언제나 자연스럽게 쌓는 깨끗한 보안 리워드를 사용자님들께 제공하고자 합니다. 알약M은 리워드 서비스를 더욱 완벽하게 제작하기 위해 선착순 베타 테스터분들의 피드백이 꼭 필요한데요! (*선착순이니 빨리 참여하셔야겠죠?!) 또한 추후 이벤트를 진행하게될 경우, 더욱 구체적이고 실용적인 피드백을 주신 사용자 분들을 추첨하여 상품도 드릴 예정이니, 알약M 그린약방 베타테스트에 많은 관심과 참여를 ..

이스트시큐리티 소식 2020. 9. 24. 14:56

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 브라우저, Messenger 등의 애플리케이션에 사용되는 Credential 정보, 암호 화폐 지갑 정보, 실행 화면, 웹캠, 클립보드 등 사용자 PC에서 정보를 유출하는 ‘RezoStealer’ 인포스틸러가 발견되어 사용자들의 주의가 필요합니다.[그림] 감염 PC 정보 탈취 코드 중 일부 ‘RezoStealer’는 사용자 PC에서 Credential 정보를 탈취하여 C&C로 전송하는 악성코드입니다. 특징적으로 주목할 만한 기능에는 암호화폐 지갑과 함께 PC에 연결된 USB와 바탕화면 경로에 있는 파일을 수집하는 기능이 있다. 수집하는 파일 확장자 목록에는 ‘.cs’, ‘.sln’ 등이 포함되어 있어, 애플리케이션 제작 소스가 유출될 가능..

악성코드 분석 리포트 2020. 9. 15. 09:00