远控来袭：针对Telegram用户的金融窃密活动 최근 Telegram에서 피싱 캠페인을 통해 확산되고 있는 RAT 악성코드가 발견되었습니다. 해당 악성코드는 영수증, 교통카드 정보 등 금융 관련 단어가 제목에 포함된 피싱 이메일에 첨부된 문서 파일을 통해 유포되었습니다. 작년 10월 이후 비트코인 가격이 급등하고 알트코인 가격도 상승함에 따라 피싱 메일에는 'USDT 지갑 주소 정보'와 같은 암호화폐 관련 단어가 등장하기 시작했습니다. 암호화폐는 익명성을 가지고 있다는 점에서 트로이목마를 사용하는 해커들의 표적이 되기 쉽습니다. 해커들은 RAT을 유포하는 피싱 캠페인을 통해 Telegram 사용자의 금융 자산을 훔치는 것을 목표로 합니다. 이번에 발견된 트로이목마의 모듈은 대부분 메모리 복호화에 의해 로드되..

국내외 보안동향 2021. 5. 11. 15:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 최근 탈륨(Thallium) 조직 소행으로 분석된 이메일 해킹 공격이 발견돼, 사용자의 각별한 주의가 필요합니다. 새롭게 발견된 이번 APT 공격은 마치 통일부 이메일처럼 발신지를 정교하고 교묘하게 조작한 수법이 특징이며, 보낸 이에 '통일부 ' 주소가 포함돼 사용자가 실제 통일부에서 보낸 것으로 착각할 가능성이 매우 높습니다. 공격자는 발신지 주소가 통일부 도메인처럼 보이도록 조작하기 위해 별도의 이메일 서버를 구축한 것으로 분석됩니다. 이메일 본문에는 통일부에서 발행한 것처럼 표현된 문서 첫 장의 이미지가 삽입되어 있고, 이미지 하단에는 통일연구원(KINU) 문서가 첨부되어 있는 것처럼 URL 링크가 삽입돼 클릭을 유도합니다. 얼핏 보기에..

악성코드 분석 리포트 2021. 2. 24. 13:57

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 비트코인, 이더리움 등 암호화폐의 가격이 급등함에 따라 세계 최대 암호화폐 거래소 바이낸스 이용자들의 계정 정보를 노리는 피싱사이트가 발견되어 사용자들의 주의가 필요합니다. 이번에 발견 된 바이낸스 피싱사이트는 정상 사이트와 매우 흡사하게 만들어졌기 때문에 사용자가 확인하지 않는다면 쉽게 개인정보를 입력할 수 있습니다. 사용자가 바이낸스 피싱 페이지에 접속 계정과 패스워드 정보를 입력할 경우 모두 개인 정보 수집 사이트로 전송되며, 이후 정지 된 계정이라 허위정보를 알려주며 한번 더 패스워드 입력을 받는 사이트로 이동하게 됩니다. 이번에 제작된 피싱 사이트는 사용자의 계정 / 패스워드 뿐만 아니라 IP주소, 접속 시간 등이 전달되며 전송된 개인 정보 ..

악성코드 분석 리포트 2021. 2. 19. 16:50

LogoKit, a new phishing kit that dynamically creates phishing forms RiskIQ의 연구원들이 특정 사용자를 노리는 피싱 메시지를 동적으로 생성하는 새로운 피싱 킷을 발견했습니다. LogoKit은 서비스형 피싱 모델을 구현하기 쉬운 모듈형 구조를 채택했습니다. 이 툴킷은 다른 것들과 다르게 임베드 가능한 Javascript 함수 세트입니다. 이 킷은 수신자의 이메일 주소를 포함하고 있는 특수 제작된 URL을 사용합니다. 이 URL은 아래와 같이 이메일을 위치 해시로써 포함합니다. phishingpage[.]site/login.html#victim@company.com LogoKit은 URL을 탐색할 때 타사 서비스(Clearbit 또는 Google의 파..

국내외 보안동향 2021. 1. 29. 14:11

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 견적 요청 관련으로 국내 유명 포털사이트 계정을 노리는 피싱 메일이 발견되어 사용자의 주의가 필요합니다. 이번에 발견된 메일은 “FW: 견적 요청 (REF # 19117030P)”라는 제목으로 수신되었으며 본문에는 아무런 내용이 없고 견적서로 위장된 HTML 파일만 첨부되어 있습니다. 사용자는 견적 확인을 위해 첨부 된 파일을 다운로드하여 실행할 경우, 국내 포털사이트 계정과 패스워드를 가로채기 위한 피싱 페이지가 브라우저로 연결됩니다. 첨부 된 파일의 대한 정보는 다음과 같습니다. 첨부 파일명 알약 탐지명 Inquiry PR11020204168.xlsx.htm Trojan.HTML.Phish 사용자가 피싱 페이지에 포털사이트 계정과 패스워드를 입력할..

악성코드 분석 리포트 2021. 1. 28. 15:02

T-Mobile data breach exposed phone numbers, call records T-Mobile이 전화번호 및 통화기록을 포함한 고객의 사유 망 정보 (CPNI)를 노출시키는 데이터 유출이 발생했다고 발표했습니다. T-Mobile은 12월 29일부터 고객에게 “보안 사고”로 인해 계정 정보가 유출되었다는 문자 메시지를 보내기 시작했습니다. T-Mobile에 따르면, 보안 팀은 최근 시스템에서 “승인되지 않은 악의적인 접근”을 발견했습니다. 사이버 보안 회사를 통한 조사를 마친 후, T-Mobile은 공격자가 고객이 생성한 통신 정보인 CPNI에 대한 접근 권한을 얻었다는 것을 발견했습니다. 이 사고로 인해 노출된 정보에는 전화번호, 통화 기록, 계정의 회선 수 등입니다. T-Mobi..

국내외 보안동향 2020. 12. 31. 14:00

US Treasury warns of ransomware targeting COVID-19 vaccine research 미 재무부의 금융 범죄 단속 네트워크인 FinCEN이 금융 기관에 랜섬웨어가 백신 연구 기관을 활발히 공격 중이라 경고했습니다. 미 재무부는 공지를 통해 아래와 같이 밝혔습니다. “FinCEN은 백신 연구 기관을 노리는 랜섬웨어를 발견했으며, 금융 기관에 백신 전달 작업을 노리는 랜섬웨어를 주의하고 백신 제조에 필요한 공급망의 보안에 주의를 기울일 것을 요청했습니다.” 이 경고는 미 FDA에서 코로나19 백신 긴급 승인 2건을 발표한 당일 공지되었습니다. FinCEN은 지난 11월 가상 회의를 개최해 금융 기관, 기술 회사, 연방 정부 기관의 대표들과 최근 증가하고 있는 랜섬웨어 관련..

국내외 보안동향 2020. 12. 30. 14:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. Google 드라이브를 이용하여 수신자의 계정 정보를 탈취하는 피싱 메일이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 “Google 드라이브를 통해 문서화”라는 제목으로 수신되었으며, 문서를 확인하기 위해 구글 드라이브 앱에 첨부된 파일을 읽어달라는 허위 내용으로 수신자의 클릭을 유도하여 계정을 탈취하기 위한 목적으로 발송되었습니다. 메일을 수신 한 사용자가 문서파일을 열기 위해 본문에 기재된 링크를 클릭할 경우 계정과 패스워드를 가로채기 위한 피싱 사이트로 이동하게 됩니다. 피싱 사이트는 사용자 다수의 계정 정보를 탈취하기 위해 Yahoo, Gmail, MS, AOL 그리고 Other Email을 적을 수 있도록 제작되어 있습니다. 사용..

악성코드 분석 리포트 2020. 12. 28. 16:04