안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 고전적인 수법의 피싱 사기는 현재까지도 지속해서 발생하고 있습니다. 공격자들은 유형만 조금씩 바꿔서 진행하는데, 여러가지 버전의 앱들을 만들고 배포하며 체계적으로 관리합니다. 최근에도 SNS를 통해 본인이 필라테스 강사임을 밝히며 접근해오는 수법으로 피해자를 물색하고 있습니다. 공격자들이 유포하고 있는 앱을 보면 갤러리, 동영상, 보안카메라 등 사진 관련 앱들로 구성되어 있고 주로 영상을 보여주는 것처럼 위장하고 있습니다. 분석 내용을 살펴보면 ‘Trojan.Android.Banker’는 돈을 목적으로 사용자의 정보를 탈취합니다. 현재 감염자는 대략 1,000명이며 지금, 이 순간에도 지속해서 늘어나고 있습니다. 보이스 피싱으로 인해 금전..

악성코드 분석 리포트 2021. 8. 20. 09:00

안녕하세요? 이스트시큐리티입니다. 코로나19 백신접종이 이루어지고 있는 요즘, 질병관리청을 사칭한 스미싱 문자메시지가 유포 중에 있습니다. 오늘은 사회적 관심도가 높은 코로나19 상황을 악용한 백신접종 증명서 사칭 스미싱 사례에 대해 알아보도록 하겠습니다. 스미싱 문자 유포자들은 악성앱 설치 유도와 사칭 웹사이트를 통해 사용자들의 개인정보 탈취를 목적으로 하는데요, 의 악성 URL을 클릭하는 경우 검진모아 사칭 웹사이트로 연결됩니다. 검진모아 사칭 웹사이트에서는 사용자로 하여금 개인정보(휴대폰 번호, 생년월일, 성함 등)를 입력하도록 유도하고, 사용자가 정보를 입력한 후에는 스마트폰에 악성앱을 다운로드 받게 됩니다. 질병관리청 예방접종 증명서 COOV로 위장한 악성앱 실행 시 개인정보 유출 피해자 문자 ..

안전한 PC&모바일 세상/PC&모바일 TIP 2021. 8. 19. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2020년 4월에 처음 등장한 Bazar 악성코드는 미국 및 유럽 전역의 전문 서비스, 의료, 제조, IT, 물류 및 여행 회사를 공격 대상으로 하고 있으며, 주로 피싱 이메일을 통하여 공격이 이루어지고 지속적으로 진화를 거듭해오고 있습니다. Bazar로더는 Trickbot 로더와 마찬가지로 해킹된 유효한 디지털 인증서를 이용하여 탐지를 회피합니다. 그리고 Bazar 로더는 명령 및 제어를 위해 EmerDNS(.bazar) 블록체인 도메인(도메인 차단 방지용)을 사용하여 C2서버와 통신하며, 필요한 API 및 문자열 등이 난독화 되어 있어 자동 및 수동 분석을 방해하고 암호화된 백도어를 메모리에만 로드하여 실행합니다. Bazar 악성코드는..

악성코드 분석 리포트 2021. 8. 19. 09:00

안녕하세요? 이스트시큐리티입니다. 지금 사이버 공간은 마치 ‘랜데믹(랜섬웨어+팬데믹)’이라는 표현을 써도 과언이 아닐 정도로 수년 동안 글로벌 랜섬웨어 위협이 대유행 중입니다. 2017년 국내 웹 호스팅 전문업체 ‘인터넷나야나’가 운영하던 리눅스 웹 서버 300여대 가운데 153대가 일명 ‘에레버스(Erebus)’ 랜섬웨어에 감염되는 사태가 발생했습니다. 해커는 암호화한 데이터를 볼모로 협박을 했고, 회사 측은 고객 데이터 복구를 위해 해커에게 약 13억원 상당의 비트코인을 협상대금과 복호화 비용 명목으로 건네기로 합의했습니다. 이 소식이 알려지자 업계 안팎에서 대응방식을 두고 많은 논란이 일었습니다. >> 관련 글 보기 : 국내 특정 웹호스팅 서비스를 사용하는 사이트를 공격한 Erebus 랜섬웨어 이스..

전문가 기고 2021. 8. 11. 09:00

안녕하세요? 이스트시큐리티입니다. 7월 정보보호의 달을 맞이하여 이스트시큐리티에서는 ‘보안환경 점검’ 설문조사를 실시했습니다. 이번 설문조사는 6월 28일부터 7월 11일까지 14일간 진행되었으며, 총 6천 명이 넘는 많은 분께서 설문에 응답해주셨습니다. 2021년, 랜섬웨어 공격의 현주소는? 최근 랜섬웨어 발생 건수가 점차 증가세를 나타내고 있으며, Kaseya VSA 공급망 공격, 미국의 송유관 시설 'Colonial Pipleline' 공격, 식가공 업체 ‘JBS Food’ 등 전 세계 경제 상황을 뒤흔들 만큼 위협적인 랜섬웨어 공격들이 연이어 발생하고 있습니다. 이러한 대규모 공격 배후는 Darkside, Sodinokibi (Revil) 랜섬웨어 운영자들로 추정되며, 이들은 새로운 버전을 추가하..

이스트시큐리티 소식 2021. 7. 27. 07:30

안녕하세요? 이스트시큐리티입니다. 코로나 시대가 가져온 제일 큰 변화 중 하나는 바로 근무형태입니다. 코로나19 여파로 재택근무를 시행하는 기관이나 기업들이 크게 늘어났는데요. 이제 재택근무는 사무실의 밀집도를 낮추기 위해 불가피하게 선택할 수 밖에 없는 근무형태입니다. 하지만 갑작스러운 재택근무로 인해 기업으로서는 직원들의 업무 활동들을 추적할 수 없어 답답할 수 있습니다. 이스트시큐리티에서 문서중앙화 솔루션으로 더욱 안전하게 재택근무를 시작하는 방법을 시리즈 카드뉴스로 제시합니다. ☎ 제품 상세 문의: 02-3470-2980

이스트시큐리티 소식 2021. 7. 23. 13:00

안녕하세요, 이스트시큐리티입니다. 지속적으로 늘어나는 스미싱 사례들 가운데, 오늘은 경찰청 교통민원24와 교통범칙금 통지서 사칭에 대해 알아보려고 합니다. 익히 알려진 스미싱 수법들과 비슷하게 사용자를 속여 개인정보를 탈취하려는 공격인데요, 경찰청 교통민원24 홈페이지을 사칭해 보낸 문자는 교통법규를 위반했다는 내용으로 사용자의 불안감을 조성하여 악성 URL을 누르도록 유도합니다. 또한, 어색한 한국어를 쓰지 않거나 맞춤법을 지킴으로써 사용자의 의심을 줄이려는 시도가 있으니, 이 점 유의해주시길 바랍니다. 해당 URL을 클릭하여 외부 페이지로 넘어갈 경우, 정상적인 교통민원24 홈페이지와는 다르게 ‘핸드폰 번호를 입력하라’는 메시지와 입력창을 통해 사용자가 자신의 전화번호를 입력하게끔 합니다. 그 후, ..

안전한 PC&모바일 세상/PC&모바일 TIP 2021. 7. 23. 10:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 해외에서도 스미싱 공격이 유행입니다. 최근에 발견된 Flubot 악성 앱도 문자메시지를 통해 전파되며 피해자의 금융 정보 탈취를 목적으로 제작된 악성 앱입니다. 문자메시지는 Fedex와 같은 택배 회사를 사칭하고 있으며 한국과 비슷하게 택배 수령 날짜 등의 정보를 확인이 필요하다는 내용으로 구성되어 있습니다. 피해자가 문자메시지의 내용에 속아 메시지 내의 링크를 클릭하면 악성 앱 설치를 유도하는 웹 페이지를 방문하게 되고 웹 페이지의 안내에 따라 악성 앱을 설치하게 되는 식입니다. 스미싱 공격은 사용자의 예방 노력이 무엇보다 중요합니다. 링크 등을 통한 앱 설치 시 본인의 스마트폰이 위협에 노출될 수 있음을 인지하고 주의를 기울여야 하며 ..

악성코드 분석 리포트 2021. 7. 20. 09:00