안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 최근 국내 유통 대기업이 랜섬웨어 공격을 받아 보안 담당자의 경각심이 높아지고 있는 가운데, 사설정보지(속칭 ‘찌라시’)로 위장한 악성 한글 파일(HWP)이 발견돼 주의가 필요합니다. 해당 문서는 ‘정세균 총리 교체 시기 미뤄질 수도’, ‘비서실장직 선긋는 양정철’ 등 정치, 외교, 사회 등 언론 보도와 출처를 알 수 없는 소문 등을 짜깁기 한 내용으로 이뤄져 있어 호기심을 자극합니다. [그림 1] 사설정보지로 내용을 채운 악성 HWP 파일 해당 악성 문서는 공격 방식이나 특징으로 미뤄볼 때 북한 해킹 조직 ‘탈륨(Thallium)’에 의해 제작된 것으로 보입니다. 또한 문서는 수정/편집이 불가능한 ‘한글 배포용 문서’로 제작되어 있습니다. ..

악성코드 분석 리포트 2020. 11. 25. 09:48

Hackers use fake Windows error logs to hide malicious payload 해커들이 스크립트 기반 공격 기반을 마련하기 위해 악성 페이로드를 디코딩하도록 설계된 16진수 값으로 위장한 ASCII 문자를 저장할 목적으로 가짜 에러 로그를 사용하고 있는 것으로 나타났습니다. 이 트릭은 결국 정찰 목적 스크립트를 전달하게 되는 중간 단계 PowerShell 명령을 포함한 더욱 긴 체인의 일부입니다. 행간 읽기 Huntress Labs는 타깃 기기에서 지속성을 획득한 공격자가 공격 루틴을 수행하기 위한 특이한 트릭을 실행하는 공격 시나리오를 발견했습니다. 공격자가 이미 타깃 시스템에 접근해 지속성을 획득했을 경우, 응용 프로그램의 윈도우 에러 로그를 모방한 “a.chk” 파일..

국내외 보안동향 2020. 6. 22. 09:39

Microsoft: New Nodersok malware has infected thousands of PCs 전 세계의 윈도우 컴퓨터 수천 대가 새로운 악성코드에 감염되었습니다. 이 악성코드는 감염된 시스템을 프록시로 변신시키고 클릭 사기를 수행하기 위해 Node.js 프레임워크의 복사본을 다운로드 및 실행합니다. 마이크로소프트가 'Nodersok'으로 시스코는 'Divergent'라 명명한 이 멀웨어는 지난 여름 처음 발견되었습니다. 이 악성코드는 사용자 컴퓨터에 강제로 HTA 파일을 다운로드한 악성광고를 통해 배포되었습니다. HTA 파일을 실행하면 엑셀, 자바스크립트, 파워쉘 스크립트를 동반한 다단계 감염 프로세스를 거쳐 마지막에는 Nodersok 악성코드를 다운로드하고 실행합니다. 이 악성코드는 ..

국내외 보안동향 2019. 9. 27. 11:20