안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 과거에 보고된 바 있었던 CryptON(크립트온) 랜섬웨어 변종이 최근 다시 발견되고 있어 사용자들의 주의를 당부드립니다. 해당 랜섬웨어에 구글 지메일 계정(account-gmail.net)으로 위장한 도메일을 통해 유포되고 있으며, 감염되면 %appdata% 폴더 아래에 “사용자 계정” 이름으로 폴더를 생성하고, “사용자계정_body.exe” 이름의 악성코드를 드롭하는 특징이 있습니다. [그림 1] 사용자계정_body.exe 파일 생성 암호화 대상을 확인하기 전 러시아어를 사용하는 환경인지 확인을 합니다. 러시아어 환경의 기기에서는 암호화를 진행하지 않고, 프로세스를 종료합니다. (RU - 러시아, KZ - 카자흐스탄, BY - 벨라루스, ..

악성코드 분석 리포트 2018. 5. 15. 18:37

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 국내에 불특정 다수를 대상으로 한 계정 탈취 목적의 피싱 메일이 유포되고 있어 주의를 당부드립니다. 이번에 발견된 피싱 메일은 제품 주문서 관련 건으로 위장하였고, 첨부 파일의 실행을 유도합니다. [그림 1] '제품 주문서'로 위장한 악성 메일 첨부 파일 'PRODUCT ORDER 20180320.pdf'은 드롭박스에 문서가 업로드되었다는 내용을 담고 있으며, 이를 통해 드롭박스로 연결을 유도합니다. [그림 2] 피싱 사이트 접속을 유도하는 PDF 파일 이용자가 드롭박스에 문서가 업로드된 것으로 생각하고 'VIEW ON DROPBOX' 버튼을 클릭할 경우, 드롭박스가 아닌 이메일 주소 및 비밀번호 입력을 유도하는 피싱 사이트로 접속됩니다...

악성코드 분석 리포트 2018. 5. 10. 13:49

안녕하세요. 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 지금은 널리 쓰이지 않는 압축 파일 포맷 중 하나인 'ACE' 파일을 첨부하고, 나름 자연스러운 한국어로 작성된 해킹 이메일이 국내에 지속적으로 유포되고 있습니다. 2018년 5월 8일 오후 10시 10분경 유포되기 시작한 이 악성 이메일은 다수의 한국 무료 이메일 계정을 활용하고 있습니다. 특히, 공격자는 한국의 특정 기업을 사칭해 수신자로 하여금 보다 신뢰할 수 있도록 가장하고 있습니다. 더불어 한국인 명의를 사용함과 동시에 기업의 공식 이메일 계정이 아닌 무료 웹 메일 서비스를 공격 대상으로 삼고 있어 기업 내부 보안에 각별한 주의와 보안 강화가 요구되고 있습니다. ESRC에서는 해당 위협이 한국내 다수의 이용자에게 전파되고 있는 사..

악성코드 분석 리포트 2018. 5. 9. 17:49

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 ‘견적 의뢰’ 제목으로 위장한 악성 메일이 국내에 유포되는 정황이 포착되어 주의를 당부드립니다. ※ 관련글 보기 ▶ 국내에 유입된 전신 송금 확인 악성 메일 주의 ▶ 제품 견적서 확인 내용으로 위장한 악성 메일 주의 이번에 발견된 악성 메일은 “Quote Request” (견적 의뢰) 제목으로 이 제품에 공유할 사진이 있는지 문의하는 내용으로 대용량의 첨부 파일 실행을 유도합니다. [그림 1] 문의 내용을 담고 있는 악성 메일 메일에 첨부된 파일 image-scan0687.zip에는 ‘image-scan068739624829.exe’ PE 파일이 있습니다. [그림 2] 악성 메일에 첨부된 파일 만일 이용자가 이미지 확인을 위해 무심결에 파..

악성코드 분석 리포트 2018. 5. 8. 16:42

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 입사지원서 메일로 위장하여 GandCrab 랜섬웨어를 유포하는 정황이 발견되어 주의를 당부드립니다. ※ 관련글 보기 ▶ 악성 메일로 유포되는 GandCrab 2.1 랜섬웨어 주의 ▶ 실존 디자이너 명의를 사칭한 악성 메일로 GandCrab 랜섬웨어 국내 유포 주의 ▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의 ▶ 가상화폐 모네로(XMR) 채굴기능의 한국 맞춤형 표적공격 증가 ▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요 ▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의 ▶ 확장자 숨겨 악성파일 열어보게 만드는 메일 유포… 고소장, 방 예약 문의 등으로 ..

악성코드 분석 리포트 2018. 5. 4. 10:04

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 제품 견적서 확인 내용으로 위장한 악성 메일이 국내에 유포되는 정황이 포착되어 주의를 당부드립니다. ※ 관련글 보기 ▶ 국내에 유입된 전신 송금 확인 악성 메일 주의 이번에 발견된 악성 메일은 모델과 시리얼 넘버(S/N) 내용의 제품 견적을 참고하라는 내용을 담고 있으며, 첨부 파일 실행을 유도합니다. [그림 1] 제품 견적 내용을 담고 있는 악성 메일 메일에 첨부된 파일 '(기업명) (PJT) 20120152RMH063.HRQ3_455 28E WITH 400 SETS.zip', '(기업명) CATALOGUE.ace'에는 모두 동일하게 '_outputD876E0.exe' PE 파일이 있습니다. [그림 2] 악성 메일에 첨부된 파일 만일 이..

악성코드 분석 리포트 2018. 4. 25. 11:36

안녕하세요? 이스트시큐리티입니다. 2018년 1분기에 '알약 랜섬웨어 행위기반 차단 기능'을 통해 차단된 랜섬웨어 공격 건수는 총 331,042건이었습니다. 이를 환산하면 최소 월 평균 110,348 건의 랜섬웨어 공격이 감지되었으며, 하루 평균 3,679건의 공격이 발생했다고 할 수 있습니다. 특히, 해당 통계는 알약 공개용 사용자 대상으로만 집계된 행위기반 차단 수치이므로 패턴기반 공격까지 포함하면 실제 랜섬웨어 공격 수는 훨씬 높을 것으로 예상됩니다. 2017년 4분기에 비트코인을 위시한 암호화폐가 시장에서 큰 관심을 받고 전세계적으로 그 가치가 폭등했습니다. 이에 따라 암호화폐 채굴을 노린 CoinMiner(코인마이너) 류의 악성코드의 유포가 증가하면서 랜섬웨어의 유포 건 수가 기존에 비해 소폭 ..

전문가 기고 2018. 4. 24. 14:38

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 국내 가상화폐 커뮤니티 및 사이트 게시판에서 외국 가상화폐 사용 설명서 글로 위장된 게시물로 악성코드를 유포하려는 정황이 포착되어 주의를 당부 드립니다. 공격자는 악성코드가 유포되는 사이트 주소와 함께 해외 코인거래소의 재정거래, 마진거래 등에 대한 설명과이용방법이 소개된 게시물을 작성하였습니다. 이를 통해 가상 화폐 거래에 관심 많은 이들을 현혹하려는 것으로 보여집니다.[그림 1] 커뮤니티에 올라온 가상화폐 설명서 게시물 만일 사용자가 호기심에 게시물에 표기된 주소로 접속할 경우, 가상 화폐 거래소 화면과 함께 취약점이 포함된 스크립트가 은밀히 실행됩니다. [그림 2] 가상화페 거래소로 위장한 화면 마치 가상화폐 거래소 화면처럼 교묘하게..

악성코드 분석 리포트 2018. 4. 23. 10:57