안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 고전적인 수법의 피싱 사기는 현재까지도 지속해서 발생하고 있습니다. 공격자들은 유형만 조금씩 바꿔서 진행하는데, 여러가지 버전의 앱들을 만들고 배포하며 체계적으로 관리합니다. 최근에도 SNS를 통해 본인이 필라테스 강사임을 밝히며 접근해오는 수법으로 피해자를 물색하고 있습니다. 공격자들이 유포하고 있는 앱을 보면 갤러리, 동영상, 보안카메라 등 사진 관련 앱들로 구성되어 있고 주로 영상을 보여주는 것처럼 위장하고 있습니다. 분석 내용을 살펴보면 ‘Trojan.Android.Banker’는 돈을 목적으로 사용자의 정보를 탈취합니다. 현재 감염자는 대략 1,000명이며 지금, 이 순간에도 지속해서 늘어나고 있습니다. 보이스 피싱으로 인해 금전..

악성코드 분석 리포트 2021. 8. 20. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 국내 포털사이트의 개인정보를 탈취하기 위해 '차단한 해외 지역에서 로그인이 시도되었습니다'라는 제목의 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다. 사용자가 아니요(내가 아닙니다.) 버튼을 클릭하면 다음과 같은 피싱 사이트로 넘어가게 됩니다. 캡챠(Capcha)인증을 추가하여 정식 페이지처럼 보이도록 위장하였습니다. 사용자가 아이디와 비밀번호, 캡챠 정보를 입력하면, 입력된 정보는 공격자의 서버로 전송된 후 본인확인 이메일 페이지로 넘어가 한 번 더 이메일 입력을 유도합니다. 본인확인 이메일을 입력 후에 확인을 누르면, 또 한번 네이버 로그인 페이지로 이동하는데 이때 이동되는 페이지는 실제 네이버 로그인 페이지입니다. 이렇게 입..

악성코드 분석 리포트 2021. 8. 11. 16:52

Chipotle’s marketing account hacked to send phishing emails 해커가 치폴레(Chipotle) 체인점에서 사용하는 이메일 마케팅 계정을 해킹한 후 이를 사용하여 악성 링크를 포함한 피싱 이메일을 발송한 것으로 나타났습니다. 대부분의 메시지는 피해자를 금융 비즈니스 및 마이크로소프트의 서비스로 위장한 크리덴셜 수집 사이트로 안내했습니다. 또한 소수의 메일에만 악성 파일이 첨부되어 있었습니다. Mailgun 계정 해킹 이 악성 이메일 캠페인은 치폴레에서 이메일 마케팅 목적으로 사용하는 Mailgun 계정[mail.chipotle.com]을 해킹해 전송되었으며, 3일 동안 최소 120개의 악성 이메일이 발송되었습니다. 정식 이메일 주소를 사용하면, 특히 이메일 주소..

국내외 보안동향 2021. 7. 30. 14:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 네이버 전자세금계산서를 위장한 악성메일이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 악성 메일은 네이버에서 발급한 전자 세금 계산서를 위장하고 있습니다. 공격자는 발신자 이메일 주소 도메인을 navercorp.com으로 만들어 수신자로 하여금 진짜 naver로 온걸로 착각하도록 유도합니다. 또한 보안메일을 첨부파일 형식으로 발송한다는 내용으로 사용자들의 첨부파일 실행을 유도합니다. 압축파일 내에는 pdf 파일을 위장한 실행파일(.exe) 파일이 포함되어 있습니다. 만약, 사용자가 해당 파일을 pdf 파일로 착각하여 실행한다면 악성코드가 실행됩니다. 악성코드가 실행되면 사용자 PC 정보와 함께 웹 브라우저, 메일 클라이언트, FT..

악성코드 분석 리포트 2021. 7. 15. 09:35

Phishing attack's unusual file attachment is a double-edged sword 공격자들이 보안 소프트웨어를 우회하기 위해 ‘양날의 검’으로 작용하는 특이한 첨부파일을 사용하고 있는 것으로 나타났습니다. 이메일 게이트웨이와 보안 소프트웨어가 점점 더 발전하고 끊임없이 변화하는 피싱 캠페인에 적응함에 따라, 공격자들은 탐지를 피하기 위해 보다 특이한 파일 형식을 사용하기 시작했습니다. 기존에는 피싱 사기에 이메일 첨부파일로는 잘 사용되지 않는 ISO 파일이나 TAR 파일이 이용되었습니다. 하지만 공격자들이 새롭고 특이한 첨부파일을 사용하기 시작함에 따라, 사이버 보안 회사들은 이를 차단하기 위한 기능을 추가했습니다. 보안 우회 위해 WIM 사용해 Trustwave의 연..

국내외 보안동향 2021. 6. 25. 09:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 피싱 메일로 수집 한 개인정보를 클라우드 기반 인터넷 메신저인 "텔레그램 API"로 전달하는 피싱 메일이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 "✉ 배달되지 않은 메일이 7 개 있습니다" 라는 제목을 사용하여 사용자가 지난 메일을 확인하기 위해 본문 내의 링크를 클릭하도록 유도시키고 있습니다. 피싱 메일 본문에는 “시스템 지연으로 인해 발송되지 않은 메일이 7개 있습니다. 수정 사항은 다음과 같습니다” 라는 문구로 사용자의 클릭을 유도하며 링크가 클릭된 경우 계정과 패스워드를 가로채기 위한 피싱 사이트로 이동합니다. 피싱 사이트에 입력 한 사용자의 계정 및 패스워드와 접속한 사용자에 대한 추가 정보(IP주소, 국가정보, 도시, ..

악성코드 분석 리포트 2021. 6. 23. 18:06

瑞星预警：APT组织Lazarus Group对中国发起攻击 최근 Rising Threat Intelligence Center는 중국 정부와 민간 기업에 대한 APT 공격을 포착했다고 밝혔습니다. 분석 결과, 공격자는 피싱 이메일을 통해 제목이 "security status check.zip"인 압축 파일을 전송하는 것으로 확인되었습니다. "정보 보안 기술 정보 시스템 보안 수준 보호 구현 가이드"라는 제목의 미끼 파일은 메일 수신자가 파일을 클릭하도록 유도하는 데 사용됩니다. 공격에 성공하면 공격자는 컴퓨터를 원격 제어하여 임의 코드를 실행하고 중요한 데이터와 정보를 훔칩니다. Rising의 보안 전문가들은 위협 인텔리전스 데이터를 통해 분석한 결과, 공격이 Group 77, Hastati Group, Hi..

국내외 보안동향 2021. 6. 2. 17:19

COVID-19 – Phishing attacks target employees that come back to the office 많은 국가에서 코로나19 감염 수치가 감소하고 있으며, 일부 정부는 시민에 대한 제한을 줄이고 있습니다. 많은 직원들이 수 개월 간의 원격 근무를 마치고 사무실로 돌아가고 있으며, 공격자들은 스피어피싱 공격을 통해 이러한 상황을 악용하려 시도합니다. Cofense의 Phishing Defense Center(PDC) 연구원들이 CIO로 가장하여 직원들의 로그인 자격 증명을 수집하는 피싱 캠페인을 발견했습니다. 해당 메시지는 코로나19와 관련한 회사의 비즈니스 운영에 대한 변화 관련 정보를 제공하는 것으로 위장합니다. 이 이메일은 회사 및 개인의 자격 증명을 훔치기 위해 제작..

국내외 보안동향 2021. 6. 1. 14:00