안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 납품 견적 의뢰 건을 사칭한 악성 메일이 유포되고 있어 이용자들의 주의를 당부드립니다. 해당 메일은 국문 및 영문으로 유포되었으며, 첨부파일로 ACE, RAR, ZIP 파일의 압축파일을 첨부한 것이 특징입니다. [그림 1] 납품 견적 의뢰 건을 사칭한 악성 메일(국문) [그림 2] 납품 견적 의뢰 건을 사칭한 악성 메일(영문) 두 메일을 비교해 보면, 메일 제목이나 첨부파일 형식이 동일하며 먼저 영문으로 납품 견적 의뢰 건을 사칭한 악성 메일이 유포된 후, 하루 차이로 국문 메일이 포착되었습니다. 또한 메일 분석 결과, 해당 악성 메일을 유포한 제작자가 '소재헌', 'Shinhwa Construction Co., Ltd'로 동일해, 같은 ..

악성코드 분석 리포트 2019. 7. 22. 14:28

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 (2019년 06월 24일) 공정 부적합 사례 내용으로 위장하고 국내 중소기업을 사칭한 악성 이메일이 유포된 정황이 포착되었습니다. 이번에 발견된 피싱 메일에는 특이하게, 메일 제목에 "봉개, 한림, 서귀포"라는 제주도의 지역명을 사용했습니다. [그림 1] 공정 부적합 사례를 위장한 피싱 메일 해당 메일을 받은 사용자가 첨부된 대용량 파일의 내용을 확인하기 위해 클릭하면 다음과 같이 악성 ACE 파일 및 ZIP 파일이 다운로드 됩니다. [그림 2] 피싱 메일에 첨부된 대용량 파일 다운로드 화면 다운로드한 ACE 파일 및 ZIP 파일을 압축 해제하면 아래의 악성 실행 파일을 확인하실 수 있습니다. [그림 3] 압축 파일 안의 악성 실행 파일..

악성코드 분석 리포트 2019. 6. 24. 18:00

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 04월 24일) 국내 중소기업(Hi-*******, 두**)으로 사칭한 피싱 메일이 유포되어 사용자들의 주의가 필요합니다. [그림 1] Hi-******* 사칭한 피싱 메일 [그림 2] 두** 사칭한 피싱 메일 두 메일은 모두 다음 도메인을 이용했는데, 각각 'daum.net', 'hanmail.net'를 사용하였으며, 대용량 파일을 첨부했습니다. 발견된 피싱 메일의 세부 정보 및 본문 내용은 아래와 같습니다. [두** 사칭 피싱 메일] 메일제목 FB1905466_001_12_PINQ_2019041 첨부파일명 FB1905466_001_12_PINQ_20190419,xlsx.ace FB1905466_001_12_PINQ_20190..

악성코드 분석 리포트 2019. 4. 24. 11:49

Zero-Day TP-Link SR20 Router Vulnerability Disclosed by Google Dev TP-Link SR20 스마트 홈 라우터에서 동일한 네트워크 상의 공격자가 임의 명령어를 실행하도록 허용하는 임의 코드 실행 (ACE) 제로데이 취약점이 발견되었습니다. 구글의 보안 관련 개발자인 Matthew Garrett는 TP-Link가 취약점을 제보한지 90일이 지나도 별다른 응답이 없어 이 ACE 제로데이 취약점을 공개하게 되었다고 밝혔습니다. 이 제로데이는 TL-Link 라우터가 이전부터 많은 취약점들을 포함한 것으로 알려진 “TDDP (TP-Link Device Debug Protocol)"라는 프로세스를 root 권한으로 빈번히 실행하여 발생합니다. TDDP는 두 가지 유..

국내외 보안동향 2019. 3. 29. 10:14

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 베트남 하노이에서 2차 북미정상회담 일정이 진행되고 있는 가운데, ACE 압축포맷 취약점(CVE-2018-20250)을 활용한 APT 공격 의심정황이 포착되었습니다. ■ ACE 압축포맷 취약점(CVE-2018-20250) 배경 CVE-2018-20250 취약점은 ACE 압축해제 동적 라이브러리 'unacev2.dll' 파일에 존재하는 것으로, 해당 취약점을 악용하면 악성파일을 윈도우즈 운영체제 시작프로그램(Startup) 경로에 생성해 재부팅시 자동실행될 수 있도록 만들 수 있습니다. - C:\Users\[계정명]\AppData\Roaming\Microsoft\Windows\Start Menu\..

악성코드 분석 리포트 2019. 2. 27. 14:34