안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 04월 24일) 국내 중소기업(Hi-*******, 두**)으로 사칭한 피싱 메일이 유포되어 사용자들의 주의가 필요합니다. [그림 1] Hi-******* 사칭한 피싱 메일 [그림 2] 두** 사칭한 피싱 메일 두 메일은 모두 다음 도메인을 이용했는데, 각각 'daum.net', 'hanmail.net'를 사용하였으며, 대용량 파일을 첨부했습니다. 발견된 피싱 메일의 세부 정보 및 본문 내용은 아래와 같습니다. [두** 사칭 피싱 메일] 메일제목 FB1905466_001_12_PINQ_2019041 첨부파일명 FB1905466_001_12_PINQ_20190419,xlsx.ace FB1905466_001_12_PINQ_20190..

악성코드 분석 리포트 2019. 4. 24. 11:49

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2019년 4월 19일, ESRC에서는 비너스락커(Venus Locker) 그룹으로 추정되는 입사지원서를 위장한 갠드크랩 v5.2 유포 정황을 포착하였습니다. [그림 1] 입사지원서를 위장한 악성 메일 이미지 최근 채용 시즌을 맞아 지속적으로 입사지원서 사칭 메일이 다양한 지원자 이름으로 유포되고 있습니다. 이번 악성 메일도 최근 2주간 발견된 입사지원서 사칭 메일과 동일하게 .egg 확장자의 알집 파일이 첨부되어 있었습니다. 메일 제목은 ‘성유리입니다.’라는 지원자가 보낸 메일처럼 작성하였고, 메일 내용 또한 간단하게 ‘안녕하세요! 공고 보고 연락 드려요’라고 작성되어 있습니다. 첨부된 압축 파일을 해제하면 DOC, JPG 확장자로 위장한 악..

악성코드 분석 리포트 2019. 4. 22. 11:02

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 금일(2019년 03월 20일) ESRC에서는 새로운 헌법재판소 사칭 악성 이메일을 포착하였습니다. 헌법재판소를 사칭한 악성이메일은 2019년 02월 25일부터 내용이 수정된 버전으로 꾸준히 유포되고 있습니다. 최근 이 갠드크랩 유포 조직은 '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등을 통해 랜섬웨어를 한국에 집중 유포하고 있습니다. 이들 조직은 기존 '[비너스락커] 랜섬웨어 유포 조직'과는 확연히 구분되고 있으며 어눌한 한국어를 사용하는게 특징인 조직이었습니다. 하지만 최근에 이 조직은 이전에 발견된 내용과 달리 한국어 표현이 많이 자연스러워졌으며 금일 발견된 헌법 재판소 사칭 이메일에서도 자연스러..

악성코드 분석 리포트 2019. 3. 20. 17:27

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 금일(2019년 03월 11일) ESRC에서는 2019년 02월 20일 경부터 포착되기 시작한 새로운 갠드크랩 한국 유포조직이 기존의 랜섬웨어 공격의 진화된 형태로 악성코드를 유포하고 있다는 점을 포착하였습니다. 최근 이 갠드크랩 유포 조직은 '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등을 통해 랜섬웨어를 한국에 집중 유포하고 있습니다. 이들 조직은 기존 '[비너스락커] 랜섬웨어 유포 조직'과는 확연히 구분되고 있는 상태입니다. 이전 포스팅에서 해당 갠드크랩의 특징으로 어눌한 한국어 표현을 사용한다고 전해 드렸는데, 이번에 발견된 공격의 경우 이전 내용과 달리 한국어 표현이 많이 자연스러워 진 것을 확..

악성코드 분석 리포트 2019. 3. 11. 11:51

안녕하세요? 이스트시큐리티 위협인텔리전스 전문조직인 시큐리티대응센터(이하 ESRC)입니다. 2018년 05월 14일 한국의 유명 택배회사의 배송팀으로 위장된 이메일로 '갠드크랩(GandCrab) 랜섬웨어 변종'이 유포되고 있어 이용자분들의 각별한 주의가 요망됩니다. 동일한 공격자는 2016년 말부터 2017년까지 비너스락커(VenusLocker) 랜섬웨어를 유포했고, 초기에 매크로 기능을 이용한 방식을 사용한 바 있습니다. 그 이후에 바로가기(.LNK) 파일과 랜섬웨어 메인 실행파일(.EXE)을 연결하는 수법을 주로 많이 사용했고, 일부 악성문서에서는 중국식 폰트(DengXian)가 사용된 바 있습니다. 아래는 실제 유포에 사용된 이메일의 화면으로 유창한 한국어로 작성되어 있으며, 마치 실제 택배 배송관..

악성코드 분석 리포트 2018. 5. 15. 08:47

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 작년부터 활발한 활동을 하고있는 Venus Locker 랜섬웨어를 유포한 공격자들이 이번에는 이메일에 DOC 문서를 첨부하고 Exploit을 이용하여 유포하는 움직임이 포착되었습니다. 이번에 사용된 이메일 주소(ohyeonsoo0613@gmail.com)는 '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 유포에 사용된 메일 주소와 동일합니다. 이 공격자들은 기존에도 다양한 방식으로 랜섬웨어와 모네로 가상 화폐 채굴 기능기를 유포한 조직입니다. ▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의 ▶ 가상화폐 모네로(XMR) 채굴기능의 한국 맞춤형 표적공격 증가 ▶ 국가 기관 및 기업 대상으로 랜섬..

악성코드 분석 리포트 2018. 1. 24. 16:55

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 특정 기업의 채용 구인 공고를 보고 연락한 내용처럼 위장한 해킹(스피어 피싱) 이메일이 국내에서 여럿 발견되고 있어 채용 및 구직관련 담당자 분들의 각별한 보안 주의가 필요합니다. ESRC에서는 이 공격자들이 기존 비너스락커 조직과는 다른 그룹으로 분류하고 있습니다. 보통 비너스락커 공격 그룹은 'EGG' 압축포맷을 주로 사용하는 반면, 이 공격자들은 'ALZ' 압축포맷을 활용하는 점이 다르며, 한국내 조직으로 분류되어 추적을 이어가고 있습니다. 한편, 공격자 추적을 위해 수사당국과도 긴밀하게 협력하고 있습니다. 공격자는 한글로 작성한 이메일에 마치 구직자 이름의 채용서류 파일처럼 만든 악성파일을 압축해 첨부하고 있습니다. [그림 1] 채..

악성코드 분석 리포트 2017. 12. 11. 14:04

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 세계적으로 Locky 랜섬웨어 유포 방식에 새로운 변화가 생기고 있습니다. 기존에는 주로 MS Word 'DOC' 파일의 매크로(Macro) 기능이나 'JS', 'JSE', 'Java', 'VBS' 등의 스크립트를 이메일에 첨부해 감염을 유도하는 기법을 사용했습니다. 그런데 최근 한달 사이에 MS Word의 매크로 기능이 아닌 DDE(Dynamic Data Exchange) 프로토콜을 활용해 대대적인 공격을 시작했습니다. DDE 프로토콜은 윈도우 운영체제에서 응용프로그램 간 데이터 전송을 위해 사용하는 프로토콜 입니다. [참고자료] https://msdn.microsoft.com/en-us/library/windows/desktop/ms6..

악성코드 분석 리포트 2017. 10. 31. 15:05