Hackers are scanning for MySQL servers to deploy GandCrab ransomware 중국 해킹 그룹이 사용자 기기를 갠드크랩(GandCrab) 랜섬웨어에 감염시키기 위해 인터넷에서 MySQL 데이터베이스를 실행 중인 윈도우 서버를 스캐닝 중인 것으로 나타났습니다. Sophos의 수석 연구원인 Andrew Brandt는 허니팟 로그에서 이러한 새로운 공격을 발했습니다. 해커들, 얻을 것이 많은 노출된 MySQL DB 노려 해커들은 인터넷에서 접근 가능한 SQL 명령을 허용하는 MySQL 데이터베이스를 스캔한 후, 서버가 윈도우 환경에서 실행되는지 확인합니다. 그런 다음, 악성 SQL 명령을 사용하여 노출된 서버에 갠드크랩 랜섬웨어를 실행시키는 악성 파일을 심습니다. ..

국내외 보안동향 2019. 5. 28. 13:40

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 28일), '형사 사건번호'라는 제목으로 헌법 재판소를 사칭한 피싱 메일이 유포되고 있어, 사용자들의 주의가 필요합니다. 이번에 포착된 피싱 메일에는 'VegaLocker' 변종을 감염자 PC에 다운로드하고 실행시키는 것으로 조사되었으며, "리플라이 오퍼레이터(Reply Operator)" 그룹이 유포한 것으로 확인되었습니다. [그림 1] 헌법 재판소를 사칭한 피싱 메일 화면 피싱 메일에는 'Documents.zip'라는 압축 파일(.zip)이 첨부되어 있습니다. 특이한 점은 이전에 발견된 메일과 달리 보관 '파일의 비밀번호'라는 내용이 추가된 점입니다. 해당 메일을 받은 사용자가 사건과 관련된 서류로 착각해 압축을 해제..

악성코드 분석 리포트 2019. 5. 28. 10:16

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 비너스락커 그룹이 '이미지 저작권 위반'의 내용이 담긴 악성 메일로 GandCrab v5.2 랜섬웨어를 유포하고 있어, 이용자들의 주의를 당부드립니다. 이번에 발견된 메일에는 개인 작가의 이미지를 무단으로 사용해 저작권을 위반했다는 내용이 담겨 있으며, 이미지 확인을 위해 첨부 파일(.egg) 실행을 유도합니다. [그림 1] '이미지 저작권 위반 안내'가 담긴 악성 메일 첨부 파일 '원본이미지.egg'에는 실제 이미지와 문서로 위장한 파일이 아래와 같이 들어있습니다. (메일 첨부파일마다 조금씩 상이할 수 있습니다.)- 원본이미지.jpg(긴공백).exe [그림 2] 첨부파일 '원본이미지.egg' 이용자가 이미지를 보기 위해 jpg 파일로 위..

악성코드 분석 리포트 2019. 4. 11. 14:49

안녕하세요? 이스트시큐리티입니다. 2019년 1분기 알약을 통해, 총 32만 506건의 랜섬웨어 공격이 차단된 것으로 확인되었습니다. 이번 통계는 공개용 알약의 ‘랜섬웨어 행위기반 사전 차단 기능’을 통해 차단된 공격수를 기준으로 집계되었습니다. 통계에 따르면 2019년 1분기에는 알약을 통해 랜섬웨어 공격이 총 32만 506건 차단되었으며, 이를 일간 기준으로 환산하면 일평균 약 3,561건의 랜섬웨어 공격이 차단된 것입니다. 이는 일반 사용자를 대상으로 제공하는 공개용 알약의 랜섬웨어 행위기반 차단 기능을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 공격까지 포함하면 전체 공격수는 더욱 많다고 볼 수 있겠습니다. 이번 1분기 역시 갠드크랩(GandCrab) 랜섬웨어가 업데이트를 거듭하며 지속적으로..

전문가 기고 2019. 4. 10. 10:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 금일(2019년 03월 25일) 오후, ESRC에서는 새로운 헌법재판소 사칭 악성 이메일을 포착하였습니다. 해당 메일은 아래 그림과 같이 내용이 깨진 상태로 유포되었으나, 1시간 뒤에 제대로 된 내용의 메일을 재유포 하였습니다. [그림 1] 본문 내용이 깨진 상태의 악성 이메일 화면 최근 이 갠드크랩 유포 조직은 '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등을 통해 랜섬웨어를 한국에 집중 유포하고 있습니다. 이들 조직은 기존 '[비너스락커] 랜섬웨어 유포 조직'과는 확연히 구분되고 있으며 어눌한 한국어를 사용하는게 특징인 조직이었습니다. 하지만 최근에 이 조직은 이전에 발견된 내용과 달리 한국어 표현이..

악성코드 분석 리포트 2019. 3. 25. 16:27

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 '저작권 위반'의 내용이 담긴 악성 메일로 GandCrab v5.2 랜섬웨어가 유포되고 있어 이용자들의 주의를 당부드립니다. ※ 관련글 보기 [비너스락커(Venus Locker) 그룹]▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요 (2017.01.03)▶ 교육 일정표 위장한 ‘한국 맞춤형’ 비너스락커 랜섬웨어 변종 국내 유포 중! (2017.02.17)▶ ‘이젠 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 랜섬웨어 피해 확산 중 (2017.02.23)▶ 쇼핑몰에서 유출된 ‘고객 개인정보 리스트’ 사칭한 변종 랜섬웨어 유포 중 (2017.04.13)▶ 글로벌 특송업체 ‘페덱스’ 배송팀을 사칭한 ‘오토크립터’ ..

악성코드 분석 리포트 2019. 3. 18. 11:45

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2/26) 갠드크랩(GandCrab) 랜섬웨어를 유포하던 비너스락커 조직이 기존과 유사한 방식으로 구직시즌에 맞춰 입사지원서를 위장하여 갠드크랩(GandCrab) 랜섬웨어 v5.2을 새롭게 유포하는 정황이 포착되어 사용자들의 주의가 필요합니다. [그림 1] 메일 이미지 해당 메일의 특징은 이메일 제목이 없고 메일의 본문에는 "백만불짜리 열정을 보여드리겠습니다." "성실하고 꼼꼼한 지원자 입니다." 등과 같은 간단한 내용이 작성되어 있습니다. 해당 이력서에 첨부된 압축파일을 풀어보면, 압축파일 내에는 다음과 같은 파일들이 포함되어 있습니다. (메일 첨부파일마다 조금씩 상이할 수 있습니다.) [그림 2] 압축 파일 이미지 첨부파일에는 (파일명..

악성코드 분석 리포트 2019. 2. 26. 14:53

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 갠드크랩(GandCrab) 랜섬웨어가 포함된 지마켓 할인쿠폰을 위장한 악성 메일이 유포되고 있어 사용자들의 주의가 필요합니다. [그림1 지마켓 할인쿠폰 메일을 위장한 악성메일] 이번에 발견된 악성 메일은 [Gmarket] 축하해! 당신을 위한 쿠폰! 이라는 제목으로 유포되고 있습니다. 해당 메일을 클릭하면, 지마켓(Gmarket)에서 보내온 것처럼 정교하게 위장된 이메일 내용과 함께 쿠폰을 위장한 압축 파일이 포함되어 있습니다. [그림2] 할인쿠폰을 위장하고 있는 갠드크랩 해당 압축파일 안에는 pdf 형식의 지마켓 할인쿠폰을 위장한 exe 파일이 포함되어 있습니다. 사용자가 해당 파일을 PDF 파일로 착각하여 실행할 경우, 할인쿠폰을 위장하고 ..

악성코드 분석 리포트 2019. 2. 22. 14:14