PDF smuggles Microsoft Word doc to drop Snake Keylogger malware 분석가들이 최근 악성코드 캠페인에서 사용자를 악성코드에 감염시키는 악성 Word 문서가 PDF 첨부 파일을 통해 밀수되는 것을 발견했습니다. 대부분의 악성 이메일은 악성코드 로딩 매크로 코드가 포함된 DOCX 또는 XLS 파일을 첨부하고 있기 때문에, PDF를 사용하는 것은 이례적입니다. 하지만 더 많은 사람들이 악성 Microsoft Office 첨부 파일을 여는 것에 대한 교육을 받게 된 후, 공격자는 탐지를 피해 악성 매크로를 배포하기 위해 다른 방법을 사용하기 시작했습니다. HP Wolf Security의 연구원들은 새로운 보고서를 통해 피해자의 컴퓨터에 인포 스틸러 악성코드를 다운로..

국내외 보안동향 2022. 5. 23. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 통일부 정착지원과의 모 사무관이 발송한 업무 내용처럼 위장한 해킹 이메일 공격이 등장해 각별한 주의가 필요합니다. 이번 스피어 피싱 공격은 08월 12일 한국의 대북 분야 종사자를 상대로 진행됐고, 이메일에는 “최근 유명인사를 노린 사이버 공격이 전방위로 진행되고 있어 사이버 안전에 유의를 부탁한다”는 본문과 함께 첨부된 ‘210811_업무연락(사이버안전).doc’ 악성 문서 파일을 열어 보도록 유인하는 특징이 있습니다. 최근 국내 사이버 보안 위협이 가중되고, 민관 사이버 위기 경보가 ‘정상’에서 ‘관심’ 단계로 격상 됨에 따라 공격자가 이 점을 노린 것으로 파악되며, 분석 결과 이번 통일부 사칭으로 유포된 DOC 문서 파일 내부에..

악성코드 분석 리포트 2021. 8. 13. 09:54

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 이력서로 위장한 Makop 랜섬웨어 유포 정황이 포착되어 기업 담당자들의 주의가 필요합니다. [그림 1] Makop 랜섬웨어 이메일 본문 첨부파일은 ZIP, LZH 이중 압축으로 되어 있으며 pdf로 위장되어 있는 ‘exe’ 파일임을 확인할 수 있습니다. [그림 2] pdf로 위장된 랜섬웨어 파일 이 파일은 설치 파일 NSIS로 제작되었으며 실행 시 암호화된 랜섬웨어 파일을 복호화하여 child 프로세스에 인젝션하는 형태를 가집니다. 이는 백신의 탐지로부터 우회하기 위한 행위로 보입니다. 섀도 볼륨을 삭제하기 위해 cmd.exe를 실행하여 파이프를 통해 명령을 전달합니다. [그림 3] 섀도 볼륨 삭제 명령 또한 특정 프로세스들을 종료시킵니..

악성코드 분석 리포트 2020. 10. 5. 11:37

New Ramsay malware can steal sensitive documents from air-gapped networks ESET의 연구원들이 이전에는 찾아볼 수 없었던 매우 드문 고급 기능을 갖추고 있는 악성 프레임워크를 발견했다고 발표했습니다. Ramsay라 명명된 이 악성 툴킷은 에어갭 컴퓨터를 감염시켜 워드 문서와 기타 민감 문서를 숨겨진 스토리지 컨테이너에 저장해 두었다가 유출이 가능한 기회를 기다리도록 설계되었습니다. 이 악성코드의 발견은 꽤 중요한 일입니다. 조직에서 취할 수 있는 가장 엄격하고 효율적인 보안 정책인 ‘에어갭’을 뛰어넘는 기능이 포함된 악성코드는 거의 찾아볼 수 없기 때문입니다. 에어갭(air-gap) 네트워크란? 에어갭 시스템은 회사 네트워크를 물리적, 논리적으로..

국내외 보안동향 2020. 5. 14. 10:38

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 이번 공격은 지난 2019년 12월 04일 공개된 바 있는 '김수키 조직, 청와대 녹지원/상춘재 행사 견적서 사칭 APT 공격' 사례(블루 에스티메이트 캠페인)의 7번째 변종으로 확인되었습니다. ※ 관련글보기 ▶ 이력서로 위장한 김수키(Kimsuky) 조직의 '블루 에스티메이트 Part5' APT 공격 주의 (2020.03.02)▶ 김수키(Kimsuky) 조직, 실제 주민등록등본 파일로 둔갑한 '블루 에스티메이트 Part3' APT 공격 주의 (2020.02.06)▶ 청와대 행사 견적서 사칭 변종, '블루 에스티메이트 Part 2' (20.01.21)▶ 김수키 조직, 청와대 녹지원/상춘재 행사 견적서 사칭 APT 공격 (19.12.04) 【오..

악성코드 분석 리포트 2020. 3. 23. 17:03

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019/10/10) "전자상거래 위반행위 조사통지서"로 위장하여 Nemty 랜섬웨어가 유포되고 있는 정황이 포착되었습니다. ESRC 조사 결과, 비너스락커(VenusLocker) 조직의 소행으로 추정되며, 정부 공문 포맷 이미지를 이용해 현재 대량으로 유포되고 있어 사용자들의 각별한 주의가 필요합니다. [그림 1] "전자상거래 위반행위 조사통지서"로 위장한 악성 메일 [그림 2] 메일에 첨부된 공정거래위원회 통지서 상세 내용 이번에 발견된 스팸 캠페인은 한메일 계정을 통해 발송되었고, 이전에 유포된 적 있는 공정거래위원회를 사칭했습니다. 메일의 첨부파일은 7z 형식으로 압축되어 있었으며, 압축파일 내부에는 PDF 문서로 위장한 악성 EX..

악성코드 분석 리포트 2019. 10. 10. 13:16

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 구직/채용 지원서로 위장하여 Nemty 랜섬웨어를 유포하는 시도가 계속 발생하고 있습니다. [그림 1] 구직/채용 지원서로 위장한 악성메일 ESRC에서는 비너스락커 조직의 수행으로 추정하고 있으며, 비너스락커 조직은 8/27일 처음으로 신규 랜섬웨어인 Nemty를 유포한 바가 있습니다. ※ 관련글 바로가기 ▶ 비너스락커 조직, 새로운 랜섬웨어 'Nemty' 유포 시작 (2019.08.27) 이번에 발견된 스팸 캠페인 역시 이전과 동일하게 네이버 메일 계정을 통해 발송했습니다. 메일 내용은 입사지원서로 꾸몄습니다. 메일의 첨부파일은 7zip 형식으로 압축되어 있고, 압축파일 내부에는 PDF 문서로 위장한 악성 EXE 랜섬웨어가 포함되어 있습..

악성코드 분석 리포트 2019. 9. 11. 14:00

Malspam campaign bypasses secure email gateway using Google Docs 공격자들이 구글 문서(Google Docs)를 사용해 PDF로 위장한 TrickBot 뱅킹 트로이목마를 피해자들에게 배포하고 있는 것으로 나타났습니다. TrickBot은 2016년 10월부터 활동해온 유명한 뱅킹 트로이목마로 제작자는 새로운 기능을 추가하며 지속적으로 업그레이드하고 있습니다. TrickBot은 초기에는 뱅킹 트로이목마 기능만을 포함하고 있었습니다. 하지만 수년에 걸쳐 제작자는 데이터 탈취, 페이로드 드롭 등 새로운 기능을 추가했습니다. 최근 Secureworks의 CTU(Counter Threat Unit) 연구원들은 미국 모바일 사용자들을 노린 공격에서 새로운 동적 웹 인..

국내외 보안동향 2019. 9. 2. 10:33