안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 악성 파일 아이콘이 “터키” 국기 모양을 하고있는 ‘법원 명령’ 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다. ※ 관련글보기 ▶ 또 다시 등장한 비너스락커 위협조직, 2018 연말정산 시즌 겨냥!▶ 독특한 스타일의 피싱 메일 주의!▶ 암호를 입력해야만 작동하는 악성 매크로 파일 주의!▶ 악성 매크로가 포함된 수수료 관련 악성 메일 주의! 이번에 발견된 악성 메일은 법원 명령에 관련된 내용으로 첨부 파일의 실행을 유도합니다. [그림 1] 수신된 메일 첨부 파일 ‘S12FG803.zip’ 에는 실행 파일인 ‘S12FG803.exe’ 파일이 담겨져 있습니다. [그림 2] 첨부된 ‘S12FG803.zip’ 파일 특이하게도 악성 파일의 ..

악성코드 분석 리포트 2018. 12. 18. 16:26

안녕하세요? 이스트시큐리티입니다. 얼마 남지 않은 올해, 잘 보내고 계신가요? 알록달록 단풍이 산을 물들인 게 엊그제 같은데, 어느새 흰 눈으로 덮인 풍경이 더 익숙해지고 있습니다. 날이 많이 추워지다 보니 길도 얼어붙고, 날씨로 인한 여러 변화들이 생겨나는데요. '배터리가 20%나 남았는데 갑자기 꺼져버렸어!' 하는 이야기도 심심치 않게 들려오기 시작했습니다. 이번 포스팅에서는, 겨울만 되면 스마트폰 배터리가 더 빨리 닳고, 심지어 방전까지 되곤 하는 이유가 무엇인지 함께 알아보고 겨울철 배터리 관리법까지 살펴보도록 하겠습니다. 추울 때 빨리 닳는 스마트폰 배터리, 원인은 리튬이온전지에 있다! 추울 때 배터리가 빨리 닳고, 방전까지 되는 이유를 알기 위해서는 스마트폰 배터리 속을 살펴봐야 합니다. 스마..

안전한 PC&모바일 세상/PC&모바일 TIP 2018. 12. 17. 09:35

안녕하세요? 이스트시큐리티입니다. 기존 스미싱을 통해서 유포되던 악성 앱들이 진화하고 있습니다. 과거에는 주로 “모바일 청첩장”을 사칭했었지만 최근에는 “무료 모바일 동영상”을 사칭합니다. 또한 그 기능도 과거에는 단순한 정보 탈취였다면, 최근에는 원격 조종 및 추가 다운로드를 통해서 더욱더 복잡하고 다양한 악성행위를 합니다. 특히, 해당 앱은 분석 및 백신의 탐지를 어렵게 하기 위해서 악성 파일을 암호화하여 숨겼다가 복호화한 후 동적 로딩을 통해서 악성 행위를 합니다. 본 분석 보고서에서는 'Trojan.Android. Zitmo'를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 앱 특징백신의 탐지를 피하고 분석에 어려움을 주기 위해서 실제 악성 행위를 하는 “classes.dex”파일은 XOR 연..

악성코드 분석 리포트 2018. 12. 14. 08:30

안녕하세요? 이스트시큐리티입니다. 최근 Facebook 아이콘으로 위장한 랜섬웨어가 등장해 사용자의 각별한 주의가 필요합니다. Facebook 악성코드는 히든티어(Hidden Tear) 오픈소스를 기반으로 제작된 랜섬웨어로, 사용자의 중요 파일을 암호화 한 뒤 ‘.Facebook’ 확장자를 추가합니다. 공격자는 이를 복호화해주는 대가로 0.29 비트코인을 요구하며 금전적인 이득을 목적으로 하고 있습니다. 본 보고서에서는 Facebook으로 위장한 랜섬웨어 행위와 이를 예방하기 위한 방법을 알아보고자 합니다. 악성코드 상세 분석 이번에 발견된 Facebook 랜섬웨어는 다음과 같이 실제 Facebook 아이콘을 사용합니다. 또한 파일 속성에 Facebook Official이라는 설명을 사용하면서 정상 파일..

악성코드 분석 리포트 2018. 12. 13. 21:21

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. 작년 12월 카카오톡을 통한 피싱 공격이 이루어 지고 있다는 언론의 보도가 있었습니다. 해당 공격은 탈북자를 대상으로 앱을 직접 전달하거나 구글 플레이스토어의 설치 페이지를 알려 주어 앱을 설치하도록 유도하는 피싱 공격이었습니다. 이렇게 설치되는 앱은 피해자의 사생활 정보를 탈취하는 스파이앱으로 밝혀졌습니다. 발견된 스파이앱을 제작한 공격주체는 “금성121”이라는 단체로 추정되며 한국을 대상으로 지속적인 사이버공격을 하고 있는 단체입니다. 금성121의 공격 대상 장비는 서버나 PC였으나 이번 스파이앱의 발견으로 모바일 영역까지 확대한 것을 알 수 있습니다. 그리고 금성121의 공격 대상은 군이..

악성코드 분석 리포트 2018. 12. 13. 16:53

암호를 입력해야만 작동하는 악성 매크로가 국내에 다수 유포되고 있어 사용자들의 주의가 필요합니다. 사용자가 악성 매크로가 포함된 DOC 파일을 클릭하면, 암호를 입력하라는 창이 뜹니다. [그림 1] 암호 입력 창 이스트시큐리티에서는 샘플만 수집하였기 때문에 아직 어떠한 형태로 유포되는지는 정확하게 확인되지 않았지만, 이메일을 통해 유포될 것으로 추정되며 암호는 이메일 내용에 포함되어 있을 것으로 추측됩니다. 해당 파일에 암호를 건 이유는 스팸 솔루션을 우회하려고 시도한 것이 아닌가 추측됩니다. 사용자가 암호를 입력하면 아래와 같이 워드파일의 본문 내용이 보여지며 매크로를 실행하라는 문구를 보여줍니다. [그림 2] 매크로 실행을 유도하는 DOC 파일 만약 사용자가 [콘텐츠 사용]을 클릭하면 워드 파일에 포..

악성코드 분석 리포트 2018. 12. 11. 11:26

한국인터넷진흥원(KISA)는 오늘 이스트시큐리티를 포함해 '사이버위협 인텔리전스 네트워크'에 참여하는 국내 주요 보안업체들과 함께 2019년 주목해야할 7대 사이버 공격 전망을 선정해 발표하였습니다. 관련 기사보기 >> [보안뉴스] 7대 보안기관·기업이 뽑은 2019년 7대 사이버 공격 전망 사이버위협 인텔리전스 네트워크는 사이버 위협정보 공유 및 침해사고 공동 대응을 위해 지난 2014년 12월에 구성되어 운영되고 있는데요. 2019년도의 전망으로는 △모바일 기기 공격 크립토재킹 △SNS를 이용한 표적공격 △보안에 취약한 인터넷 단말기를 겨냥한 공격 △지능화된 스피어피싱과 APT 공격 △사물인터넷을 겨냥한 신종 사이버 위협 △소프트웨어 공급망 대상 사이버 공격 증가 △악성 행위 탐지를 우회하는 공격 기..

국내외 보안동향 2018. 12. 5. 16:53

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 갠드크랩 랜섬웨어가 이번에는 내부 ‘바로가기’ 파일(LNK)을 새로 변경하여 유포되고 있어 사용자들의 각별한 주의가 필요합니다. ※ 관련 글 보기 ▶ 임금체불 관련 출석요구서로 사칭한 갠드크랩 랜섬웨어 감염 주의 ▶ 비너스락커 랜섬웨어 조직, 베리즈 웹쉐어를 통해 갠드크랩 국내 다량 유포 ▶ 비너스락커 위협조직, 입사지원서로 위장해 갠드크랩 랜섬웨어 한국에 급속 유포 중 갠드크랩 랜섬웨어는 “이미지 무단 사용 안내메일”로 위장하고 있으며, 압축 파일이 첨부되어 있습니다. [그림 1] 수신된 메일 첨부파일 ‘이미지무단사용내용정리.alz’에는 2개의 jpg 파일’1.원본이미지, 2원본이미지’,’내용정리(링크포함)과 GandCrab 랜섬웨어인 ‘ma..

악성코드 분석 리포트 2018. 12. 3. 17:53