안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. "Payment Error" 제목의 스팸메일이 발송되고 있어 사용자의 주의가 필요합니다. 메일 본문에는 사용자가 계좌로 지불한 내역이 오류가 있었고, 아래의 링크에서 첨부파일을 다운로드하여 은행 정보가 맞는지 확인하라는 내용이 기재되어 있습니다. 링크가 연결된 사이트에는 다운로드할 수 있는 2개의 파일이 존재하며, 해당 파일 들은 각각 ProformaInvoice.doc.exe, Payment Details_xcod.exe 파일명으로 생성되어 있으며 Word, PDF 문서의 아이콘으로 위장되어 있습니다. 2개의 파일은 모두 Resmcos RAT 악성코드로써 실행 시 C&C통신 이후 스크린샷, 키로깅, 레지스트리 추가 및 편집, 공격자 명령..

악성코드 분석 리포트 2022. 11. 2. 16:27

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 국내 유명 은행 보안메일을 사칭한 악성 이메일이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 "보안메일"이라는 제목을 사용하며, 실제 해당 은행에서 보내는 보안메일과 유사하게 제작되었습니다. 보안메일 프로그램처럼 보이는 첨부 파일은 “PDF 문서 아이콘”으로 위장하여 사용자가 다운로드하여 실행 시 악성 행위를 시작합니다. 악성파일은 Remcos Rat 1.7 Pro 버전으로 확인되었으며 진단을 우회하기 위해 .NET을 이용하였으나, 내부 악성 모듈을 추출하면 버전 정보가 하드코딩되어 있습니다. Remcos 악성코드는 명령제어 악성코드로, C&C 통신 이후 공격자 명령에 따라 다음과 같은 기능을 수행합니다. 명령어 설 명 filemgr,..

악성코드 분석 리포트 2021. 6. 3. 14:18

안녕하세요. ESRC(시큐리티 대응센터)입니다. 이스트시큐리티에서는 '코로나19' 내용의 악성코드에 대해 여러차례 주의를 당부드리고 있습니다. ※ 관련글보기 ▶ 지속적으로 발견되고 있는 '코로나 바이러스' 관심사를 악용하는 악성코드▶ "코로나 바이러스" 이슈를 이용하여 공격중인 악성코드 주의! 하지만 '코로나19' 이슈를 악용한 악성코드, 악성메일, 악성 앱들이 지속적으로 등장하고 있습니다. 이러한 악성코드는 국내 뿐만 아니라 해외에서도 대량으로 유포중에 있어 사용자들의 각별한 주의가 필요합니다. [그림 1] "coronavirus" 키워드를 포함하고 있는 악성 이메일들 유포되고 있는 악성 메일들의 경우 "coronavirus" 키워드를 포함하고 있는것을 확인할 수 있습니다. 우리는 이번에 발견된 악성메..

악성코드 분석 리포트 2020. 2. 26. 12:59