QNodeService Trojan spreads via fake COVID-19 tax relief 연구원들이 코로나19 관련 주제를 사용하는 피싱 캠페인에서 새로운 악성코드인 QNodeService를 발견했습니다. 이들은 미끼를 통해 세금 감면을 해주겠다고 사용자를 속였습니다. 이 피싱 메시지는 트로이목마를 포함하는 “Company PLP_Tax relief due to Covid-19 outbreak CI+PL.jar”파일을 사용했습니다. 트렌드마이크로는 QNodeService 트로이목마가 Node.js로 작성되었으며 .jar 파일에 내장된 Java 다운로더를 통해 배포된다고 경고했습니다. Node.js는 주로 웹 서버 개발용으로 설계되었으며 공격 대상이 될 기기에 미리 설치되지 않을 것이기 때문에..

국내외 보안동향 2020. 5. 18. 14:30

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 특정 도메인을 사용하여 사내 계정을 대상으로 한 피싱 공격들이 지속적으로 발견되고 있어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 “✉ Your *******@*******.com mailbox usage is 85% full”이라는 제목으로 관리자 계정을 타깃하여 발송되었습니다. 메일에는 사용자의 이메일 스토리지 용량이 부족하다고 경고하며, 계속 해당 이메일을 사용하려면 로그인하여 스토리지를 업그레이드하라고 본문의 URL을 클릭하도록 유도합니다. [그림 1] 관리자 계정으로 전달된 피싱 공격 이메일 피싱 메일을 받은 사용자가 부족한 스토리지 용량을 늘리기 위해 본문에 기재된 링크를 클릭할 경우, 계정과 패스워드를 가로채기 위한 피..

악성코드 분석 리포트 2020. 5. 13. 07:30

안녕하세요? 이스트시큐리티입니다. 정부가 21일 코로나19 확산 방지를 위해 '사회적 거리두기'를 5월 5일까지 연장한 가운데, 코로나19의 영향으로 우리의 삶은 많이 바뀌었습니다. 원격교육, 재택근무 등 다양한 형태의 언택트 문화는 코로나19 사태 이후 가속화되었으며, 현재는 사회 전반으로 번져 한국 사회가 서서히 언택트 사회로 이동하고 있습니다. 언택트(Untact)란? 언택트란 '콘택트(contact: 접촉하다)'에서 부정의 의미인 '언(un-)을 합성한 말로, 기술의 발전을 통해 점원과의 접촉 없이 물건을 구매하는 등의 새로운 소비 경향을 의미한다. 이렇게 코로나19 이후 우리는 삶의 대부분을 사이버 세상 속에서 보내게 되었습니다. 오늘은 코로나19의 영향으로 변화한 우리의 삶을 살펴보며, 이러한..

전문가 기고 2020. 4. 24. 17:44

Gmail blocked 18 Million phishing and malware emails using COVID-19 lures in a week 구글이 지난 일주일 동안 지메일(Gmail) 사용자를 보호하기 위해 구현한 안티 악성코드 솔루션이 코로나 바이러스를 미끼로 사용하는 피싱 및 악성코드 이메일 약 1,800만 건을 차단했다고 발표했습니다. 또한 코로나 바이러스 팬데믹 관련 스팸 메시지는 2억 4천 건 이상 차단했다고도 덧붙였습니다. 구글은 해커가 자택에서 근무하는 직원들을 속이기 위해 WHO를 포함한 정부 당국과 의료 기관을 사칭하려 시도했다고 밝혔습니다. “지메일은 피싱 메일을 매일 1억 건 이상 차단합니다. 지난주에는 매일 악성코드 및 피싱 이메일 1,800만 건을 발견했습니다. 코로나1..

국내외 보안동향 2020. 4. 20. 08:46

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 호주의 물류회사와 스페인에 위치한 병원에 랜섬웨어 공격이 발생했습니다. 주로 기업 네트워크를 타깃으로 하는 이번 공격에 사용된 랜섬웨어는 Mailto 랜섬웨어의 변종으로 Netwalker 로도 알려져있습니다. 해외에서 신종 코로나 바이러스의 확진자가 지속적으로 발생하면서 해당 공격자들이 랜섬웨어 설치를 위해 코로나19 이슈를 이용하여 피싱 이메일을 사용하고 있는 것으로 확인되었습니다. [그림] 랜섬노트 화면 해당 랜섬웨어는 기업을 타겟으로 하고, 최근에는 코로나19 확산에 따른 사회적 관심과 불안감을 악용하는 랜섬웨어입니다. 랜섬웨어를 예방하기 위해서는 기본 보안 수칙을 준수하고, 윈도우, 애플리케이션을 최신으로 업데이트해야 합니다...

악성코드 분석 리포트 2020. 4. 16. 17:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 국내 유명 카드사 계정을 노린 피싱 메일이 발견되어 사용자들의 주의가 필요합니다. 해당 메일은 국내 카드사 계정으로 수신 된 메일로 스토리지 공간이 부족하다는 메시지와 함께 저장 용량을 늘리기 위해 로그인을 유도하는 방식으로 사용되고 있습니다. [그림 1] 국내 카드사 계정으로 수신 된 이메일 화면 계정 피싱 메일을 받은 사용자가 저장 용량을 늘리기 위해 메일 본문에 링크 된 주소를 클릭 할 경우 사용자의 계정과 패스워드를 가로채기 위한 피싱 사이트로 이동하게 됩니다. [그림 2] 이동 된 피싱 사이트 화면 피싱 타깃이 된 사용자가 해당 페이지에 계정과 패스워드를 입력할 경우, 개인 정보 수집 사이트로 입력된 개인 정보가 전송됩니다. 전송된 개인 정보..

악성코드 분석 리포트 2020. 3. 25. 11:15

안녕하세요. ESRC입니다. 코로나 19 바이러스 이슈로 인해, 많은 기업이 임직원들에 대한 보호와 예방 차원에서 재택근무를 진행하고 있습니다. 재택근무 형태를 2020년 2월 말 경부터 조기에 도입한 기업들은 벌써 기간 연장을 거듭하여 한 달째에 이르고 있는 상황입니다. 이런 재택근무 시기에도 외부 위협은 계속되고 있습니다. 공격자들은 사용자들이 최근 가장 관심을 가질만한 코로나 19 바이러스 관련 정보를 포함하여 송장, 관리시스템의 장애 확인, 임직원 계정 확인 등의 다양한 주제를 활용하여 공격을 시도하고 있습니다. ESRC에서는 보안관리자 입장에서 이러한 공격에 효과적으로 대응하기 위한 체크리스트를 몇가지 알려드리오니 업무에 도움이 되길 바랍니다. 1. 재택근무를 위해 활용하는 엔드포인트 장비/관련..

전문가 기고 2020. 3. 23. 11:21

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 싱가폴 한인 교회 유치원에서 허위로 발주 된 구매주문서로 사용자의 계정을 노리는 피싱 메일이 발견되어 사용자들의 주의가 필요합니다. [그림 1] 구매발주 제목으로 유포 된 이메일 화면 해당 메일은 TT00, TT4.5 구매 주문에 대한 발주서를 첨부 파일로 추가했습니다. 해당 메일에는 'T T00 구매 주문 -009111.zip', 'T T4.5 구매 주문 -009111.zip'라는 ZIP 파일이 첨부되어 있다. 사용자가 해당 첨부파일을 다운로드하여 압축 해제 후, 안에 있는 파일을 실행하면 아래와 같은 htm 파일을 확인할 수 있다. [그림 2] 첨부파일 내부 화면 해당 메일을 받은 사용자가 구매 발주 확인을 위해 첨부파일을 다운로드하고 내부 파일을..

악성코드 분석 리포트 2020. 3. 12. 09:14