안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 해당 악성 앱은 스미싱을 통해서 꾸준히 유포되는 종류 중 하나로 기존 악성 앱은 암호화를 통해서 덱스 파일을 숨겼다면, 해당 악성 앱은 kiwi패커를 이용하여 덱스 파일을 숨겼습니다. 언팩된 덱스 파일의 악성 행위는 이전 버전과 비슷하지만, 코드가 조금 더 정교해졌고 수집한 정보는 웹 소켓을 이용하여 탈취합니다. 택배 앱을 사칭하며 다수의 기기 정보와 녹음, 주소록, 문자 등의 개인정보를 탈취하고 원격으로 기기를 조종하여 문자 메시지를 전송합니다. [그림] 메시지 앱 변경 요구 팝업 해당 악성 앱은 전형적인 택배 스미싱으로 유포됐으며 C2와의 통신을 이용하여 기기 정보와 녹음, 주소록, 문자 정보 등을 탈취하고 탈취한 개인정보를 이용하여 ..

악성코드 분석 리포트 2020. 7. 17. 09:00

15B credentials available on dark web; average selling price below $16 다크 웹에서 크리덴셜 150억 건 이상이 판매 중이거나 무료로 공개된 것으로 나타났습니다. 크리덴셜 하나당 책정된 평균 가격은 15.43 달러였습니다. 여러 다크 웹에서 광고 중인 계정 크리덴셜을 2년 반 정도 추적 및 분석해온 Digital Shadows에 따르면 이 중 약 1/3인 50억 크리덴셜이 고유한 것으로 나타났습니다. 다양한 크리덴셜의 유형 중 은행 및 금융 관련 계정의 패스워드가 가장 비쌌습니다. 이 정보는 다크 웹에서 평균 가격 70.91 달러로 판매되고 있었으며 일부는 500달러 이상으로 책정되었습니다. 기업 계정 탈취(ATO)를 위해 관리자 크리덴셜을 찾고 있..

국내외 보안동향 2020. 7. 9. 14:00

'Keeper' hacking group behind hacks at 570 online stores “Keeper”로 알려진 해킹 그룹이 지난 3년 동안 온라인 스토어 570곳 이상을 해킹해온 것으로 나타났습니다. 이 Keeper 범죄 그룹은 온라인 스토어 백엔드에 침투해 그들의 소스코드를 변경했으며, 구매자가 결제 시 입력한 지불카드 정보를 로깅하는 악성 스크립트를 삽입했습니다. 이러한 공격 유형은 사이버 보안 커뮤니티에서 ‘웹 스키밍’ 또는 ‘E 스키밍’ 또는 ‘Magecart’ 침입(이 전략을 처음으로 사용한 해커 그룹 이름)이라 부릅니다. 2017년부터 활동해온 Keeper 범죄 그룹 Gemini Advisory는 오늘 발표된 보고서를 통해 Keeper가 최소 2017년 4월부터 활동해 왔다고 ..

국내외 보안동향 2020. 7. 8. 14:30

Crooks hide e-skimmer code in favicon EXIF Metadata 전문가들이 Magecart 공격을 조사하던 중 이미지 파일의 EXIF 메타데이터에 스키머 코드가 숨겨져 있으며 해킹된 온라인 스토어에서 로드되고 있는 것을 발견했습니다. 연구원들은 워드프레스 WooCommerce 플러그인을 사용하는 인터넷 쇼핑몰에서 이 악성코드를 발견했습니다. 공격자는 이 스크립트를 통해 사용자가 해킹된 인터넷 쇼핑몰 사이트에 입력하는 신용카드 데이터 및 기타 민감 정보를 훔쳐 정보를 수집할 수 있게 됩니다. 이 공격의 특이한 점은 공격자가 신용카드 데이터를 추출하기 위해 이미지를 사용한다는 것입니다. 전문가들은 이 스크립트가 해킹된 웹사이트에서 사용하는 것과 동일한 파비콘 파일을 로드한다는 것..

국내외 보안동향 2020. 6. 29. 10:10

South African bank to replace 12m cards after employees stole master key 남아프리카 우체국 은행인 Postbank에서 직원이 마스터키를 훔친 사고가 발생했습니다. 은행은 이로 인한 사기성 거래로 320만 달러 이상을 잃었으며 고객의 카드 1,200만 장 이상을 재발급 해야 할 위기에 처했습니다. 남아프리카의 지역 언론인 Sunday Times에서는 이 사고가 2018년 12월 프리토리아 시의 구 데이터센터에서 누군가 은행의 마스터키를 종이에 프린트했을 때 발생했다고 밝혔습니다. 이 은행은 유출 사건의 원인이 내부에 있다고 보고 내부 보안 감사를 진행한 것으로 알려졌습니다. 마스터키는 36자리 코드(암호화키)로 이 키를 가진 사람은 은행의 운영을 해..

국내외 보안동향 2020. 6. 16. 09:25

안녕하세요. ESRC(시큐리티 대응센터)입니다. 마스크는 코로나19 바이러스의 가장 효과적인 예방책 중 한 가지로 알려져 있습니다. 최근 전 세계적으로 마스크에 대한 관심과 수요가 크게 증가한 상황에서 관련 문서 내용으로 위장한 악성 문서가 발견되었습니다. 이 악성 문서를 사용자가 열어볼 경우, 사용자 PC에 악성코드 설치 및 주요 정보가 탈취될 수 있기 때문에 각별한 주의가 필요합니다. ESRC에서는 지난 21일 특정 정부 후원을 받는 것으로 추정되는 대표적인 APT 공격 그룹 중 하나인 코니(Konni) 조직의 공격을 확인했습니다. 코니(Konni) 조직은 최근 몇 년간 꾸준히 국내를 타깃으로 APT 공격을 수행하는 조직으로 ESRC에서는 이미 몇 차례 Konni 조직의 APT 공격을 확인하고 경고한..

악성코드 분석 리포트 2020. 4. 22. 16:46

안녕하세요. ESRC(시큐리티 대응센터)입니다. 코로나19 바이러스 이슈와 관련된 악성 메일이 끊임없이 유포되고 있습니다. ※ 관련 글 보기 ▶ "코로나19 바이러스" 이슈를 악용한 악성코드 주의(2) (20.02.26)▶ "코로나 바이러스" 이슈를 이용하여 공격중인 악성코드 주의! (20.02.20) 이번에 발견된 악성 메일은 WHO(World Health Organization)를 위장하고 있으며, Coronavirus Updates라는 제목으로 유포됩니다. [그림 1] 코로나 바이러스 이슈를 악용한 악성 메일 메일 본문에 SNS 아이콘이 포함되어 있는데, 해당 아이콘들을 클릭하면 실제 WHO(World Health Organization)의 공식 SNS 계정으로 연결됩니다. 해당 메일에는 ATT00..

악성코드 분석 리포트 2020. 3. 10. 08:24

최근 T/T 송금 관련으로 국내 포털 피싱 파일이 첨부되어 있는 이메일이 유포되고 있어 사용자들의 주의가 필요합니다. ※ T/T 결제란?전신환송금(Telegraphic Transfer)으로 수입대금의 지급을 은행을 통해 전신 또는 텔렉스를 이용하여 송금하는 방식 출처 : 네이버 시사경제용어사전 [그림 1] T/T 송금 관련 제목으로 유포 된 이메일 화면 이번에 발견된 메일은 “RE: 휴먼플러스- pro forma invoice”, "RE: T/T 송금 ~234327645#" 라는 제목으로 다수 전파되고 있으며, T/T 송금 관련 문서로 위장 된 첨부 파일이 포함되어 있습니다. 첨부 된 파일들은 T/T 송금관련 문서로 위장된 파일들이며 파일명은 다르지만 안의 내부 코드는 매우 유사하게 작성 되었습니다. [..

악성코드 분석 리포트 2020. 2. 27. 11:05