안녕하세요.이스트 시큐리티 ESRC입니다. 구정 연휴가 끝나자마자 Emotet 악성코드가 또다시 기승을 부리고 있어 사용자들의 주의가 필요합니다. [그림1] 악성 메일 이번에 유포된 악성 메일은 어색한 한국어로 작성되어 있으며, 사용자의 사적인 데이터와 재무 데이터를 탈취했다며 사용자에게 금전적인 요구를 하고 있습니다. 어색한 한국어는 번역기를 돌려 작성한 것으로 추정됩니다. 악성메일에는 악성 문서 파일이 포함되어 있습니다. 만약 사용자가 첨부된 악성 문서 파일을 실행하게 되면, 아래와 같은 안내를 사용자에게 보여주어 공격자가 심어 놓은 매크로를 실행시키도록 유도합니다. [그림2] 매크로 실행을 유도하는 악성 DOC 파일 매크로는 가비지 코드와 함께 파워셸을 실행하는 코드를 포함하고 있습니다. [그림3]..

악성코드 분석 리포트 2020. 1. 29. 08:49

APAC Windows Servers Targeted by a New InfoStealer and Cryptomining Campaign CheckPoint의 보고에 의하면, 아시아 태평양 지역의 Windows 서버를 대상으로 한 공격수가 급증하고 있다고 합니다. 연구원들은 감염된 장비에 대한 다른 기술적인 세부사항뿐만 아니라 Windows 사용자의 로그인 자격 증명을 업로드하는 데 효과적인 툴에 기초한 새로운 악성 프로그램 캠페인을 발견했습니다. CheckPoint가 분석한 배치 파일에는 공격자가 보안 툴에 의한 검출을 피할 수 있도록 도와주는 "Regsvr32" 프록시 실행 프로그램, 파워쉘 다운로드 크래들(cradle)이 있습니다. 사용자 데이터의 도용은 Mimikatz를 통해 이루어지고 FTP 서..

국내외 보안동향 2019. 3. 6. 16:49

New PowerShell-based Backdoor points to MuddyWater Trend Micro의 연구원들이 MuddyWater APT 그룹이 사용한 악성코드와 매우 유사한 PowerShell 기반의 백도어를 발견했습니다. 첫 번째 MuddyWater 캠페인은 2017년 말 발견 되었으며, 이 때 Palo Alto Networks의 연구원들은 중동에서 일어난 수상한 공격들을 조사하고 있었습니다. 전문가들은 사우디 아라비아, 이라크, 이스라엘, 아랍 에미리트, 그루지야, 인도, 파키스탄, 터키 및 미국의 기관들을 노렸으며 2017년 2월~10월 사이에 이루어진 공격의 범인을 찾는데 혼란을 겪어, 이 캠페인을 ‘MuddyWater’라 명명했습니다. 공격자들은 1단계 PowerShell 기반 ..

국내외 보안동향 2018. 12. 3. 10:04

The SLoad Powershell malspam is expanding to Italy 최근 새로운 악성 스팸 캠페인이 이탈리아를 공격하고 있습니다. 공격자들은 sLoad라는 강력한 다운로더의 새로운 변종을 확산 중입니다. sLoad는 정교한 스크립트로 과거 “Ramnit 뱅커”등과 같은 무서운 악성코드 다수를 배포하는데 사용되어 왔습니다. “CERT-Yoroi는 지난 몇 달 동안 선거구를 대상으로 한 새로운 공격 패턴을 발견했습니다. 이 일련의 악성 메일은 이탈리아의 사이버 세계를 노리는 작전을 시작한 한 공격 그룹과 연관 되어있는 것으로 보이는 일반적인 기술들을 공유했습니다.” “이러한 공격 시도가 TTP를 변경한 사이버 범죄 그룹에 의한 것인지, 아니면 완전히 새로운 집단의 짓인지는 아직까지 확..

국내외 보안동향 2018. 11. 30. 09:31

PowerShell 스크립트의 95%가 악성 스크립트인 것으로 밝혀져 IT 종사자들에게 Powershell이란 윈도우 시스템에 존재하는 매우 강력한 툴입니다. MS 역시 이러한 Powershell을 Windows 시스템의 기본 명령줄 도구로 설정해 놓았습니다. 하지만 최근 한 보안기업은 보고서를 통해 PowerShell스크립트 중의 95% 이상이 악성스크립트이며, 주로 다운로더의 역할을 한다고 밝혔습니다. 공격자들은 PowerShell 프레임 워크를 이용해 악성 페이로드를 내려받고 사용자 PC를 모니터링 하거나 네트워크를 통해 유포시킵니다. 연구 결과에 따르면, 95.4%의 PowerShell 스크립트가 악성인 것으로 밝혀졌습니다. 이는 외부의 PowerShell 스크립트가 기업 보안에 매우 큰 위협이 ..

국내외 보안동향 2017. 1. 16. 15:22

똑똑한 PowerWare 랜섬웨어, 해킹공격에 PowerShell 사용Smart PowerWare Ransomware Uses PowerShell for the Dirty Work Windows PowerShell로 작성된 새로운 랜섬웨어가 기업들, 특히 의료 기관들을 노리고 있습니다. 해당 랜섬웨어는 악성 매크로를 포함한 워드 문서가 인보이스로 위장하여 피싱 이메일을 통해 유포됩니다. Carbon Black에 따르면, PowerWare은 Microsft의 Word와 MS OS의 스크립트 언어인 PowerShell을 이용한다고 합니다. 기존의 랜섬웨어 변종은 시스탬 내 새로운 악성 파일을 설치하는데, 이는 안티바이러스에 탐지될 확률이 높습니다. PowerWare은 Windows 시스템의 핵심 유틸리티 중..

국내외 보안동향 2016. 3. 31. 16:02