Anubis, a new info-stealing malware spreads in the wild 마이크로소프트가 최근 새로운 악성코드인 Anubis를 발견하여 경고했습니다. 이 악성코드는 실제 공격을 통해 배포되고 있으며 감염된 시스템에서 정보를 훔치려 시도합니다. 악성코드 분석가들 사이에서 Anubis는 안드로이드 악성코드로 잘 알려져 있습니다. 하지만 새롭게 발견된 Anubis는 이 악성코드와는 관련이 없습니다. 마이크로소프트에 따르면 이 새로운 악성코드는 Loki 악성코드를 사용하며 시스템 정보, 자격 증명, 신용카드 정보, 가상화폐 지갑을 훔칩니다. 이 새로운 악성코드는 윈도우 시스템만을 노리며, 마이크로소프트는 이를 PWS:MSIL/Anubis.G!MTB로 탐지합니다. Anubis는 지난 6..

국내외 보안동향 2020. 8. 28. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019/09/03) 특정 기관을 사칭한 견적서 요청 스피어 피싱 메일이 유포된 정황이 확인되었습니다. 공격자는 구매팀을 사칭해 견적을 위한 도면을 확인해 달라며, 견적에 필요한 파일인 것처럼 메일에 악성 대용량 파일을 첨부했습니다. [그림 1] 견적 요청을 사칭한 악성 메일 화면 실제 공격에 사용된 이메일에는 국내 특정 기업 이미지와 직원의 서명을 추가해 담당자를 현혹하고 있습니다. 비슷한 내용과 동일한 악성 대용량 파일을 첨부한 메일이지만 엉뚱한 회사의 직원 서명을 사용한 악성 메일도 발견되었습니다. [그림 2] 견적 요청을 사칭한 악성 메일 화면2 발견된 악성 메일 모두 동일한 이미지 파일(.img) 및 ACE 파일(.ace)을 대용..

악성코드 분석 리포트 2019. 9. 3. 16:23

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 납품 견적 의뢰 건을 사칭한 악성 메일이 유포되고 있어 이용자들의 주의를 당부드립니다. 해당 메일은 국문 및 영문으로 유포되었으며, 첨부파일로 ACE, RAR, ZIP 파일의 압축파일을 첨부한 것이 특징입니다. [그림 1] 납품 견적 의뢰 건을 사칭한 악성 메일(국문) [그림 2] 납품 견적 의뢰 건을 사칭한 악성 메일(영문) 두 메일을 비교해 보면, 메일 제목이나 첨부파일 형식이 동일하며 먼저 영문으로 납품 견적 의뢰 건을 사칭한 악성 메일이 유포된 후, 하루 차이로 국문 메일이 포착되었습니다. 또한 메일 분석 결과, 해당 악성 메일을 유포한 제작자가 '소재헌', 'Shinhwa Construction Co., Ltd'로 동일해, 같은 ..

악성코드 분석 리포트 2019. 7. 22. 14:28

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2019년 07월 05일, 웹페이지상에서 사용자의 메일과 비밀번호를 입력하게끔 유도하는 스피어 피싱이 발견되었습니다. 이 피싱 메일들은 조달 견적 요청 메일과 송금 증명서(remittance certificate)를 사칭하여 유포되었습니다. [그림 1] 조달 견적 사칭 메일 [그림 2] 송금 증명서(remittance certificate) 사칭 메일 이번에 발견된 피싱메일은 중소기업을 타깃으로 유포되었으며, 각가 htm 파일과 dat 파일을 첨부한 것이 특징입니다. 먼저, 조달 견적을 사칭한 메일의 htm 파일을 열어보면 다음과 같이 국내 포털 사이트인 네이버 로그인 화면을 보여줍니다. [그림 3] 네이버 로그인 페이지를 사칭한 피싱 사이트 ..

악성코드 분석 리포트 2019. 7. 10. 16:20

'Legit Apps Turned into Spyware' Targeting Android Users in Middle East 사이버 보안 연구원들이 2016년부터 활성화되어 왔으며 2018년 8월 처음 발표된 안드로이드 악성 캠페인에 대해 경고했습니다. 카스퍼스키의 연구원들이 "ViceLeaker"라 명명한 이 캠페인은 사용자가 알지 못하는 사이에 사용자 정보를 탈취합니다. 이 악성코드는 전화 기록, 문자 메시지, 사진, 비디오, 위치 데이터 등의 정보를 탈취하도록 설계되었으며, 이스라엘 및 기타 중동 국가들을 노리고 있는 것으로 나타났습니다. 일반적인 스파이 기능 외에도 파일 업로드/다운로드/삭제, 음성 녹음, 카메라 탈취, 특정 번호로 전화 걸기 또는 문자 보내기 등을 포함한 백도어 기능을 갖추고..

국내외 보안동향 2019. 6. 27. 13:49

안녕하세요? 이스트시큐리티입니다. 구글 플레이스토어에서 정상 앱을 가장한 악성 앱이 지속적으로 발견되고 있습니다. 관련 앱들은 게임, 티비, 리모컨 등의 앱으로 위장하여 사용자를 속입니다. 해당 앱 중에는 다운로드 건수가 500만 건이 넘는 앱도 있었습니다. 특히, 다양한 가상환경 탐지 기법을 적용하여 앱 분석을 방해하며 광고 팝업뿐만 아니라 기기 및 개인 정보를 탈취합니다. 본 분석 보고서에서는 'Trojan.Android.FakeApp'를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 광고를 위한 앱 설정광고를 하기 위해서 자체 설정을 하는데, 해당 설정과 관련된 정보는 인터넷을 통해서 읽어오고, shared_prefs에 값을 저장합니다. 또한, 인터넷이 안될 경우를 대비하여 앱 자체에도 하드 코..

악성코드 분석 리포트 2019. 1. 28. 15:19

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 사용자 정보 탈취 악성코드를 다운로드 하는 ‘견적 요청서’ 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다. ※ 관련글 보기 ▶ 악성코드가 첨부된 무역 관련 악성 메일 주의 ▶ 기업 거래내역 엑셀 문서파일로 위장한 APT 표적공격 주의 ▶ Trojan.Agent.FormBook 악성코드 분석 보고서 이번에 발견된 악성 메일 본문에는 “첨부한 샘플과 사양에 따라 긴급한 요구 사항이 있다”고 영문으로 작성되어있고 첨부 파일의 실행을 유도합니다. [그림 1] 수신된 메일 첨부 파일 ‘Quotation.zip’ 에는 실행 파일인 ‘Darfile.exe’ 파일이 담겨져 있습니다. [그림 2] 첨부된 ‘Quotation.zip’ 파일 만약 이..

악성코드 분석 리포트 2018. 9. 20. 17:16

Banking Trojan Gains Ability to Steal Facebook, Twitter and Gmail Accounts 보안 전문가들이 새롭고 정교한 형태의 멀웨어를 발견했습니다. 이는 악명높은 Zeus 뱅킹 트로이목마를 기반으로 하며, 은행 계좌 정보 뿐 아니라 다른 정보들도 탈취합니다. Terdot이라 명명 된 이 뱅킹 트로이목마는 2016년 중반부터 활동했으며, 저장 된 신용 카드 정보, 계정정보 등 브라우징 정보를 탈취하고 방문한 사이트에 HTML 코드 인젝션을 실행하기 위한 중간자 공격용 프록시로써 동작하도록 설계 되었습니다. 하지만, 연구원들은 이 뱅킹 트로이목마가 더욱 진화해 소셜 미디어 및 이메일 계정에 접근해 감염 된 피해자 대신 글을 올리는 등의 행동을 위해 SSL 인증서..

국내외 보안동향 2017. 11. 20. 18:03