안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 사용자 PC를 감염시키고 원격제어를 수행하는 악성코드가 발견되었습니다. 이 악성코드는 PDF 문서파일 아이콘과 ‘.SCR’확장자를 사용하여 화면 보호기 파일로 위장했습니다. 이는 사용자로 하여금 악성 파일을 정상 파일로 착각해 실행을 유도하기 위함입니다. [그림] 키로깅 코드 일부 감염된 PC는 공격자의 명령에 따라 제어되므로 원치 않는 악성 행위를 시도합니다. 명령의 일부로 감염 PC의 폴더 및 프로세스, 브라우저 정보 등을 탈취하고 키로깅을 수행합니다. 이는 특히 사용자의 민감한 정보가 유출될 우려가 있고, 2차 피해로 이어질 수 있기 때문에 각별한 주의가 필요합니다. 현재 알약에서는 해당 악성 코드를 ‘Backdoor.RAT.N..

악성코드 분석 리포트 2019. 12. 17. 15:47

This Android malware can take photos and videos and spy on your app history 타깃 공격을 실행하고 커스텀 제작이 가능한 강력한 안드로이드 악성코드가 선별 된 개인들을 감시하기 위해 배포 되고 있는 것으로 나타났습니다. 모바일 보안 회사인 Lookout이 발견한 Monokle 원격 접근 트로이목마는 타깃에 대한 감시를 실행하기 위한 다양한 기능을 갖추고 있습니다. 이 악성코드는 키로깅, 사진 및 영상 촬영, 웹 브라우저/소셜 미디어 서비스/메신저를 포함한 앱의 히스토리 받아오기, 사용자 위치 추적 등이 가능했습니다. 또한 Monokle은 신뢰할 수 있는 인증서를 설치해 기기의 루트 접근이 가능했습니다. 이로써 공격자가 데이터를 훔치기 위한 기능을 ..

국내외 보안동향 2019. 7. 26. 10:32

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 토렌트 파일로 위장한 악성 파일이 발견되었습니다. 해당 파일은 최근 이슈였던 어벤저스 엔드게임 파일인 것처럼 위장하여 사용자를 속였습니다. ESRC에서는 어벤저스 엔드게임 영화가 영화관에서 내려가는 시점에서 영화를 보고 싶은 사용자들이 토렌트로 영상을 검색할 것을 염두 해 해당 피싱 파일을 유포한 것으로 추측하고 있습니다. 이번에 발견된 악성 파일은 "Avengers Endgame.2019-1080p.FHDRip.H264.AAC-RTM rcs.torrent"라는 이름으로 유포되었으며, torrent 파일인 것처럼 위장했지만 실제로는 악성 실행파일입니다. [그림 1] 토렌트 파일을 사칭한 악성 실행파일 공격자는 유니코드 확장자 변조 기능(RTLO..

악성코드 분석 리포트 2019. 6. 12. 14:26

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2019년 05월 20일 오전, 제품 견적문의로 위장한 악성 파일이 포함된 피싱 메일이 유포된 정황이 확인되어 사용자들의 주의가 필요합니다. [그림 1] '제품 문의 합니다.' 제목으로 전달된 악성 피싱 메일 이번에 발견된 악성 메일은 국내 포털 사이트 도메인인 'nate.com'을 악용하였으며, 이전에 유포되었던 피싱메일처럼 간단한 내용이 작성되어 있습니다. 해당 피싱 메일에는 '제품문의.egg'라는 제목의 압축 파일(.egg)이 첨부되어 있습니다. 해당 메일을 수신한 담당자가 제품 문의 관련 파일로 착각하여 압축 해제하면, 다음과 같이 Excel 파일처럼 보이는 실행 파일(.exe)을 확인하실 수 있습니다. [그림 2] Excel 파일을 위..

악성코드 분석 리포트 2019. 5. 21. 14:21

Sophisticated 'TajMahal APT Framework' Remained Undetected for 5 Years 사이버 보안 전문가들이 최소 5년 동안 운영되어 왔지만 최근까지 발견되지 않은 매우 정교한 스파이웨어 프레임워크를 공개했습니다. 카스퍼스키 연구원들이 타지마할(TajMahal)이라 명명한 이 APT 프레임워크는 첨단 기술이 추가된 모듈형 악성코드 툴킷입니다. 이 툴킷은 간첩 작전을 위한 악성 플러그인 다수를 지원할 뿐만 아니라 이전에는 볼 수 없었던 기묘한 트릭을 사용합니다. 카스퍼스키는 이 프레임워크를 타지마할이라 명명한 이유는 공개하지 않았습니다. 연구원들은 작년 말, 소속 국가나 위치가 알려지지 않은 해커가 중앙아시아 국가에 속한 외교 기관의 컴퓨터를 염탐할 때, 타지마할 ..

국내외 보안동향 2019. 4. 15. 09:39

'블로거'를 노린 대규모 피싱 공격 주의! 2017년 1월 16일 새벽 경 부터, 국내 유명 블로그 서비스 이용자를 대상으로 한 대대적인 피싱공격이 발생하고 있습니다. 이번 공격은 국내 1위 포털 기업의 블로그 서비스 이용자를 대상으로 하고 있으며, 공격자는 블로거가 작성한 특정 게시글(이하 포스팅)에 본인의 가족사진이 동의 없이 게재되어 조치를 요구하는 내용의 메일을 대량으로 발송하였습니다. 해당 메일에는 가족사진이 게재된 부분을 알려주겠다며, 마치 문제가 되는 포스팅의 일부를 캡쳐한 파일인 것처럼 속여 사용자의 첨부파일 열람을 유도합니다. 만약 블로거가 첨부된 압축파일 내 사진으로 위장된 '사진1.exe'라는 이름의 파일을 실행하게 되면, 사용자가 PC에 입력하는 모든 내용을 몰래 가로채는 '키로깅(..

악성코드 분석 리포트 2017. 1. 16. 18:27

Spyware.PWS.KRBanker.M (변종) 현재 웹사이트를 통한 악성코드 유포방식이 지속해서 증가하고 있습니다. 공격자는 취약한 웹 서버를 경유지로 이용하고 대량으로 악성코드를 유포합니다. 유포된 악성코드는 국가 간의 사이버 전쟁, 산업시설 공격, 온라인게임 계정 탈취, 랜섬웨어, 금융 정보 탈취 등 여러 종류가 존재합니다. 이러한 악성코드들은 지속적으로 변종을 만들어 백신을 우회하고 사용자를 속이기 위한 기법을 추가하기 시작했습니다. 이 악성코드는 D사에서 제작한 동영상 플레이어를 이용하여 악성 파일을 실행시키는 교묘한 방법을 사용하고 있습니다. 지금까지 정상 파일처럼 위장한 방식은 지속되어 왔지만, 이 악성코드는 정상 파일을 이용하여 악성 파일을 실행시키는 방법을 이용하고 있습니다. 또한 사용..

악성코드 분석 리포트 2015. 2. 12. 10:04

Trojan.Java.RAT.A 해당 악성코드는 스팸 메일로 사용자에게 전파되어 첨부파일 실행 시 사용자의 정보를 외부 서버로 전송하고, 사용자의 타이핑을 가로채는 키로깅 기능, 감염된 PC를 조종할 수 있는 봇의 기능을 가진 악성코드입니다. 기능상으로는 기존 악성코드와 별차이가 없지만, 이번 악성코드는 JAR(Java Archiver)파일이 포함된 스팸 메일로 유포되었고, 자바가 설치된 사용자 타겟으로 제작되었다는 특징이 있습니다. 악성코드 순서도 악성코드 상세 분석 ※ 악성파일 분석(Docs.jar) Docs.jar 파일은 사용자 정보 확인, JNativeHook을 이용한 키로깅, 파일복사, 레지스트리 추가, 플로그인 로드, 네트워크 접속, 봇 행위들을 수행합니다. 상세분석에서는 해당 기능들에 대한 ..

악성코드 분석 리포트 2015. 1. 7. 13:22