Hackers Use Cloud Services to Distribute Nanocore, Netwire, and AsyncRAT Malware 공격자가 악성 캠페인에 아마존 및 마이크로소프트의 공개 클라우드 서비스를 악용해 Nanocore, Netwire, AsyncRAT와 같은 원격 액세스 트로이 목마(RAT)를 배포해 해킹된 시스템에서 민감 정보를 훔치고 있는 것으로 나타났습니다. Cisco Talos의 연구원들은 보고서에서 2021년 10월에 시작된 이 스피어 피싱 공격이 주로 미국, 캐나다, 이탈리아, 싱가포르에 위치한 기업을 타깃으로 삼았다고 밝혔습니다. 침입 시 기존 인프라를 사용하는 것은 보안 솔루션의 탐지를 피하기 위한 은폐 메커니즘이 될 수 있으며, 자체적으로 서버를 호스팅할 필요가 없..

국내외 보안동향 2022. 1. 13. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2020년 12월 16일 특정 보험사를 사칭한 ‘[00손해보험] 자동차보험 증권입니다.’라는 제목으로 스팸 메일을 통해 원격 제어 악성코드인 ‘NanoCore’가 유포되고 있습니다. 첨부 파일을 확인해 보면 윈도우에서 소프트웨어 설치에 사용되는 Windows 캐비닛('.cab') 파일이 존재하며, 이 파일은 실행파일인 exe 파일을 포함합니다. 이 악성코드는 파일을 실행하면 리소스 영역(RCData WIOSOSOSOW)의 난독화된 쉘코드(Shellcode)를 실행합니다. 리소스 영역(RCData WIOSOSOSOW) 난독화 된 쉘코드를 복호화하는 코드입니다. 이 쉘코드는 exe 파일 내 숨겨진 난독화 된 데이터를 메모리 상에서 복호화합니다..

악성코드 분석 리포트 2020. 12. 17. 10:04

안녕하세요.이스트시큐리티 시큐리티대응센터(ESRC)입니다. 5/25 OLE 내부에 PE가 포함된 형태의 악성문서가 첨부된 메일이 발견되었습니다. "Scan Copy_PO#~~"라는 제목의 이 악성 메일에는 공격자에 의해 조작된 Word 문서가 포함되어 있으며, 메일 본문은 어색한 한국어로 작성되어 있습니다. ESRC에서는 해당 피싱 메일에 첨부된 악성 파일 (SCAN+COPY.doc/Scan+Copy.docx.exe)에 대해 분석해 보았습니다. 유포 중인 악성 이메일은 첨부된 사진 스캔 사본을 확인하라는 내용을 담고 있습니다. [그림 1] 악성 메일 본문 첨부된 doc 문서를 확인하면 아래와 같이 ‘보안 파일을 보려면 누르십시오’라는 안내를 보여주며 사용자의 클릭을 유도합니다. [그림 2] 사용자의 클릭..

악성코드 분석 리포트 2020. 5. 25. 16:26

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 운송, 견적, 발주 등의 무역과 관련된 다양한 내용이 담긴 악성 메일이 국내에 지속적으로 유포되고 있어 이용자들의 주의를 당부드립니다. 이번에 수집된 메일은 메일에 첨부된 운송 관련 서류의 열람을 유도하는 내용을 담고 있습니다. [그림 1] 운송 서류 확인 악성 메일 악성 메일에 첨부된 파일 'BL-PL-INV-8289278827882637267277272.ace'에는 악성 파일 'BL-PL-INV-8289278827882637267277272.scr'가 있습니다. 만일 이용자가 무역 관련 문서인 것처럼 생각하여 파일을 실행할 경우, 악성코드가 실행이 됩니다. [그림 2] 첨부된 'BL-PL-INV-8289278827882637267277272..

악성코드 분석 리포트 2018. 8. 8. 09:26