안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 16일) 영업프로젝트, 첨부자료 양식, 사진 파일 등을 위장한 악성 파일이 포함된 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다. 이 피싱 메일은 지난 5월 8일에도 대량으로 유포되었습니다. ESRC에서는 해당 공격이 TA505 공격 그룹에 의한 소행이라고 판단하고 있습니다. ※ 관련글 보러가기 ▶ 유출된 소스코드 기반으로 제작된 악성코드 유포 주의 (2019.02.14)▶ Trojan.Ransom.Clop 악성코드 분석 보고서 (2019.03.22)▶ 클롭(Clop) 랜섬웨어 유포 조직이 진행하는 기업 타깃 대량공격 주의! (2019.04.24)▶ TA505 조직, 요청자료 엑셀문서처럼 위장해 한국에 악성 이메..

악성코드 분석 리포트 2019. 5. 16. 13:28

MS 오피스의 내장 기능, 자가 복제 멀웨어를 생성하는데 악용될 수 있어MS Office Built-In Feature Could be Exploited to Create Self-Replicating Malware 이탈리아의 보안 전문가가 누구나 마이크로소프트의 보안을 우회하고 MS 워드 문서에 숨겨진 자가 복제 멀웨어를 생성할 수 있는 간단한 기술을 소개했습니다.이 연구원은 지난 10월 마이크로소프트에 이 이슈를 제보하였으나, 마이크로소프트는 이를 보안 결점으로 인정하지 않았습니다. 마이크로소프트는 이 기능이 MS 오피스 DDE 기능처럼 원래 의도된 대로 동작한다고 밝힌 바 있습니다. DDE 기능은 현재 해커들이 활발히 악용 중입니다. 새로운 'qkG 랜섬웨어', 자가확산 기술 사용 연구원들이 베트남..

국내외 보안동향 2017. 11. 28. 16:59

2017년 7월, MS의 정기 보안업데이트 리스트 중에는 Microsoft Office 취약점인 CVE-2017-8570도 포함되어 있었습니다. 해당 취약점은 MS Office 원격코드실행 취약점으로, Microsoft PowerPoint가 실행될 때 "Script" Moniker 개체에 대해 초기화를 하는 과정에서 발생합니다. 또한 PowerPoint 가 실행되는 과정중에 해당 개체를 활성화 시킬 수 있으며, 이를 통하여 sct 스크립트(Windows Script Component)를 실행할 수 있게 되는 것입니다. 공격자는 사용자에게 해당 취약점이 존재하는 PPT를 파일을 전송함으로서, 현재 사용자 권한과 동일한 코드실행 권한을 획득할 수 있습니다. 또한 최근 해당 취약점 exploit이 인터넷에 공..

국내외 보안동향 2017. 8. 7. 16:32

MS Office 매크로를 이용하여 키로깅 프로그램을 다운받는 공격활동 분석 MWI-5: Operation HawkEye 개요 MS Office 악성코드는 90년대처럼 유행하지는 않지만, 여전히 주의해야 할 악성코드입니다. 최근 강력한 Office 악성코드 개발툴인 Microsoft Word Intruder(MWI)가 러시아에서 개발되었습니다. WMI는 2015년 파이어아이에 의해 처음으로 공개되었지만, 이 악성코드의 파급력을 인지하지 못한 사용자들의 주목을 끌지 못했습니다. 하지만 파이어아이는 끊임없이 WMI에 관한 연구 보고서를 공개하였습니다. MWI을 이용한 공격 규모는 의도적으로 작은 규모를 유지하였습니다. 공격조직들은 수많은 컴퓨터들을 감염시키기 보다 몇 천대 혹은 몇 십대의 컴퓨터를 감염시켜,..

악성코드 분석 리포트 2015. 10. 22. 17:28