안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 여러분들도 잘 아시다시피 한국에서는 다양한 보안위협과 침해사고가 이어지고 있습니다. 이러한 사이버 위협에는 항상 배후가 존재하지만, 사이버 세상의 특성상 공격자와 거점을 특정하고 실체를 규명하는 것은 매우 어려운 일입니다. 하지만 어떠한 현상이나 사건에는 누구도 의식하지 못한 사이 특정 코드가 기록되거나, 평상시 습관에 의해 고유한 흔적을 남겨 결정적 증거나 단서로 사용됩니다. 사이버 공격자가 제작한 코드를 분석하거나 공격에 활용된 시스템, 네트워크, 사용 언어 등 다양한 환경과 프로세스를 분석해 공통점을 찾아가는 과정은 많은 시간과 노력이 필요하지요. ■ 공격자의 관심사와 공격의도를 고민하자! 각 분야별 침해 위협을 분석하고 대응하는 입장에서..

악성코드 분석 리포트 2017. 12. 15. 17:58

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 국내 특정 기업 관계자를 대상으로 한 계정 탈취 목적의 피싱 메일이 유포되어 관계자의 주의를 당부드립니다. 이번에 발견된 피싱 메일은 '사용하고 있는 이메일 계정이 HTC Desire 626s 안드로이드 스마트폰 기기에서 로그인되었으니 비밀번호를 변경하라는 내용'을 담고 있습니다. [그림 1] 비밀번호 변경을 유도하는 피싱 메일 만약 수신자가 자신의 이메일 계정에 타인이 무단으로 접속하였다고 인식해 'Change password' 버튼을 클릭할 경우 새로운 비밀번호를 입력하도록 유도하는 피싱 사이트에 연결됩니다. [그림 2] 새로운 비밀번호 입력을 유도하는 피싱 사이트 만일 이용자가 입력폼에 비밀번호를 모두 기입하고 'Login to co..

악성코드 분석 리포트 2017. 11. 20. 13:23

「あなたのパスワードは簡単しすぎ」LINEをかたりパスワードの再設定を要求する不自然な日本語フィッシングメールがまた拡散中 최근 일본에서 LINE을 사칭하는 피싱메일이 유포중입니다. 해당 피싱 메일은 ‘LINE에 대한 메일주소’라는 제목으로 LINE이 발신한 메일을 가장하고 있습니다. 본문의 내용은 ‘시스템 테스트에 따르면, 당신 계정의 패스워드는 너무 단순해서 보안에 문제가 있습니다. 곧 패스워드를 개정하여 계정을 로그인하기 위한 이급 필요 패스워드로써 개인의 생년월일을 설치해주십시오’라는 부자연스러운 일본어로 쓰여 있으며, 기재된 URL을 클릭하게 되면 가짜 피싱사이트로 유도됩니다. 비슷한 내용의 피싱 메일이 7월에도 확인되어, 피싱대책협의회에서 주의를 당부했습니다. 해당 피싱사이트의 URL은 ‘http://ww..

국내외 보안동향 2017. 11. 1. 10:12

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 지난 달 국내 이용자들을 대상으로 ‘클래시 오브 클랜' 게임 앱 청구서로 위장한 애플 피싱 메일이 유포되어 주의를 당부 드립니다. 발견된 피싱 메일은 Apple Store에서 ‘Clans of Clans’라는 게임을 구입하였으니 첨부파일에서 청구서를 확인하라는 내용과 함께 PDF 파일이 첨부되어 있습니다. [그림 1] 앱 결제 내역서로 위장한 애플 피싱 메일 메일에 첨부된 PDF 파일은 마치 스토어에서 Clash Of Clans 게임을 구매한 청구서로 보여줍니다. 하지만 실제로는 링크 클릭을 통해 이용자가 피싱 사이트에 접속하도록 유도합니다. 한편, 공격자는 ‘앱 구매를 승인하지 않았을 경우, 링크를 통해 애플 사이트에 방문하여 구매 취소할 수..

악성코드 분석 리포트 2017. 9. 28. 18:16

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 페이스북 이용자 사이에서 퍼지고 있는 '문화상품권(문상) 룰렛 이벤트 사이트' 등에서 페이스북 토큰 정보를 수집하는 사이트가 확인되어 주의를 당부드립니다. [그림 1] SNS 이용자들 사이에 퍼지고 있는 문상 룰렛 이벤트 게시글 사이트에 접속하면 최초 룰렛 1회를 돌릴 기회를 제공하고, 이용자가 룰렛을 1회 돌릴 경우 '페이스북으로 로그인하여 5회 무료기회 받으세요'라는 메세지가 나타납니다. [그림2] 문상 룰렛 이벤트 사이트 화면 [그림 3] 페이스북 로그인 유도 화면 이용자가 'Log in with Facebook' 버튼을 누를 경우, 다음과 같이 UOAUOA 앱에서 수신하는 정보가 나오고, 계속 진행할 경우 아이디 및 비밀번호를 입력..

악성코드 분석 리포트 2017. 9. 28. 13:37

최근 국내인들을 대상으로 비트코인 정보를 탈취하는 메일이 유포되고 있는 정황이 이스트시큐리티 시큐리티대응센터(ESRC) 모니터링에 포착되어 이용자들의 주의를 당부 드립니다. 이번 메일은 윈도우 7, 8, 10 운영체제를 대상으로 보안 패치를 공개하였고, 첨부된 파일을 실행하여 시스템을 최신으로 유지하라는 내용으로 되어 있습니다. [그림 1] 윈도우 보안 업데이트 안내로 위장한 메일 첨부된 악성코드는 VB(Visual Basic) 언어로 제작되어 있으며, 보안 패치와 무관하게 “%AppData%\Bitcoin\” 경로에 비트코인 지갑 정보가 담긴 wallet.dat 파일 내용을 C&C(80.208.230.159)로 전송하는 기능을 수행합니다. [그림 2] 비트코인 지갑 파일 [그림 3] 비트코인 지갑 파일..

악성코드 분석 리포트 2017. 9. 18. 16:51

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 국내 애드웨어 서버의 업데이트 파일을 은밀히 변조(해킹)해 지속적으로 최신 파밍 악성코드가 유포 중인 것이 시큐리티대응센터 보안관제 중 포착되었습니다. 특히나 해당 애드웨어의 경우 정상 프로그램과 함께 제휴 프로그램을 함께 설치하는 형태로 배포하고 있어 부지불식간에 이용자 피해가 발생할 수 있어 주의가 필요합니다. [그림 1] 특정 제휴 프로그램 다운로더 화면 이번 애드웨어 업데이트 파일 변조 역시 지난 ‘게임 최적화 프로그램’ 사례와 마찬가지로 업데이트 서버내에 존재하는 URL 값을 파밍 악성코드로 변경하였습니다. [그림 2] 애드웨어 업데이트 웹 페이지에서 URL 명령 값 변조 따라서 이용자가 다운로더를 통해 설치를 진행할 경우 은밀하게 파..

악성코드 분석 리포트 2017. 8. 22. 14:44

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 비트코인 시세가 가파르게 상승하면서 많은 사람들이 가상화폐에 높은 관심을 가지고 있습니다. 이에 따라 가상화폐와 관련된 다양한 사이버 범죄들도 비례적으로 증가하고 있어 각별한 주의가 필요한 시기입니다. 그런 와중에 지난 일요일(20일) 국내의 특정 가상화폐 거래소 이용자 등을 대상으로 피싱메일이 다량으로 전파된 정황이 포착되었습니다. 공격자는 국내 유명 비트코인 거래소 중 한곳을 사칭하여 마치 '출금완료 알림' 내용으로 조작한 피싱 메일을 유포했으며, 메일 본문에는 다음과 같이 '새로운 기기에서의 로그인 알림' 내용처럼 위장하고 있습니다. 특히, 다른 IP 주소에서 수신자의 로그인이 발생한 것처럼 보안주의를 안내함으로써, 공격 대상자의 심..

악성코드 분석 리포트 2017. 8. 21. 11:13