안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2020년 12월 16일 특정 보험사를 사칭한 ‘[00손해보험] 자동차보험 증권입니다.’라는 제목으로 스팸 메일을 통해 원격 제어 악성코드인 ‘NanoCore’가 유포되고 있습니다. 첨부 파일을 확인해 보면 윈도우에서 소프트웨어 설치에 사용되는 Windows 캐비닛('.cab') 파일이 존재하며, 이 파일은 실행파일인 exe 파일을 포함합니다. 이 악성코드는 파일을 실행하면 리소스 영역(RCData WIOSOSOSOW)의 난독화된 쉘코드(Shellcode)를 실행합니다. 리소스 영역(RCData WIOSOSOSOW) 난독화 된 쉘코드를 복호화하는 코드입니다. 이 쉘코드는 exe 파일 내 숨겨진 난독화 된 데이터를 메모리 상에서 복호화합니다..

악성코드 분석 리포트 2020. 12. 17. 10:04

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 대북 분야 국책연구기관을 사칭해 특정 기관 관계자 정보를 수집하는 스피어피싱(Spear Phishing) 공격이 발견돼, 관련 업계 종사자의 각별한 주의가 필요합니다. [그림 1] 통일연구원 전문가 자문 요청을 사칭한 악성 문서 파일 이번 공격에 사용된 이메일은 대북 분야 국책연구기관인 ‘통일연구원(KINU, Korea Institute for National Unification)’을 사칭하고 있으며, 해당 연구기관에서 전문가 자문을 요청하는 내용을 담고 있습니다. 발견된 메일에는 'KINU 전문가 자문 요청사항(한미동맹과 한중관계).hwp'라는 악성 한글 문서 파일이 첨부되어 있었습니다. 만약 수신자가 실제 자문 요청 문서로 착각해 이 문서..

악성코드 분석 리포트 2019. 10. 17. 13:16

Photoshop Remote Connections 기능 소개 Photoshop중에는 Remote Connections 이라는 기능이 포함되어 있습니다. 해당 기능은 기본적으로 비활성화 되어있지만, 만약 사용자가 해당 기능을 활성화 시킨 후 비밀번호를 설정해 놓았다면, 비밀번호를 아는 누군가가 해당 서비스를 이용하여 사용자의 PC를 원격에서 컨트롤 할 수 있게 됩니다. 다음은 Remote Connections 기능 활성화 화면 입니다. 일반 사용자들은 해당 기능을 이용하여 PS 파일들을 자신의 다른 iPad나 휴대폰 등으로 확인하며 디자인을 수정하는데 사용합니다. 이 기능은 휴대폰 등 이동식 디바이스에서 PS Playon과 Skala Preview등 서드파티 앱을 통해 연결할 수 있습니다. 해당 원격 연..

국내외 보안동향 2017. 8. 10. 11:09

송년회 등 연말 특수를 겨냥한 ‘한국 맞춤형’ 악성 파일 유포 포착! 안녕하세요. 알약입니다. 최근 연말을 맞아, 송년회 및 신년회 안내 문서를 위장한 '한국 맞춤형 악성 파일' 유포 정황이 발견되어, 사용자 여러분의 각별한 주의를 당부 드립니다. 이번에 발견된 공격은 송년회 및 신년회 행사 장소를 안내하는 내용처럼 위장한 MS 오피스 워드(*.doc) 문서 파일을 특정 대상에게 발송하고, 사용자가 첨부된 문서 파일을 열람하면 해커가 워드 문서에 미리 저장해 놓은 매크로가 실행되는 형태입니다. 매크로(Macro)는 여러 개의 명령문을 하나로 묶어 간단하게 사용할 수 있는 일종의 ‘자동 실행’ 기능입니다. 이번 파일의 매크로가 실행될 경우, 특정 사이트에 접속해 악성 파일을 내려받고 실행하여 사용자 PC를..

악성코드 분석 리포트 2016. 12. 27. 17:41

가짜 보안 프로그램의 역습, 불법 소프트웨어 주의보 최근 다수 토렌트(Torrent) 공유 서비스를 통해 “강력한 파일 보안 프로그램 ROS Power Lock 4.0” 타이틀로 위장한 RAT(Remote Administration Tool)유형의 악성 파일이 지속적으로 유포되고 있습니다. 사용자들의 각별한 주의를 당부 드립니다. 악성 파일은 마치 스웨덴 국가기관 보안을 담당하는 기업의 보급용 보안 프로그램처럼 사칭하고 있습니다. 또한 한글을 이용해 쉬운 설치를 유도하고, 정식 등록 키가 포함된 것처럼 속여 토렌트 서비스 사용자들을 교묘하게 현혹하고 있습니다. 공격자는 사용자들이 해당 파일을 더욱 신뢰하도록 ‘설치 시 보안 등급 설정’ 등의 내용을 추가시키는 한편, 실제 프로그램 배포 패키지처럼 보이기 ..

악성코드 분석 리포트 2016. 12. 22. 15:55

의료비 통지서를 가장한 공격 발생, 사용자 주의! 지난 2014년 9월, 일본에서 의료비통지서를 가장한 메일을 통해 PC 원격 조작 악성 프로그램을 유포하는 사이버 공격이 발생했습니다. 해당 악성코드는 이메일을 통해 유포되고 있으며, 첨부된 악성파일(.exe 형식)은 의료비 통지서를 가장한 워드 파일이나 PDF 파일로 위장하고 있습니다. 기존에는 건강보험조합을 사칭하는 발신자로부터 ‘의료보험통지 안내’라는 제목의 메일을 받고, 그 메일을 통해 공격을 시도하는 형식이었습니다. 최근 1-2월에는 일본의 연말정산 시기를 맞아 해당 공격이 더욱 기승을 부리고 있습니다. 첨부된 파일 또한 '산업포럼안내, 세계단체 안내, 한국의 세월호 침몰사건' 등 사용자를 그럴 듯하게 속이는 파일로 위장하여 유포되고 있습니다. ..

국내외 보안동향 2015. 1. 28. 15:20