안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 통칭 ‘Dridex’ 라고 불리는 금융 정보 탈취 악성코드가 해외에서 기업을 대상으로 공격이 이루어졌습니다. 이 악성코드는 2014년부터 발견되어 최근까지도 대량 유포 중이며 이를 제작한 그룹은 뛰어난 기술력을 소유한 ‘Evil Corp’ 또는 ‘TA505’로 해킹 그룹의 소행으로 알려져 있습니다. 지난 9월 다음과 같은 메일이 수신되었습니다. 운송회사를 사칭한 메일로 연체된 송장을 확인하라는 내용입니다. [그림] 이메일 화면 특히 TA505그룹은 축적된 기술로 인하여 분석 및 탐지가 어려운 특징이 있습니다. 과거에는 국외에서 다량 유포되고 있지만 최근 국내 기업을 대상으로도 유포가 되고 있어 사용자들의 주의가 필요합니다. 따라서 이러한 ..

악성코드 분석 리포트 2020. 10. 20. 09:00

Ransomware gang now using critical Windows flaw in attacks 마이크로소프트가 사이버 범죄자들이 공격 시 ZeroLogon 취약점의 익스플로잇 코드를 악용하기 시작했다고 경고했습니다. 회사는 9월 하반기 사이버 스파이 그룹인 MuddyWater(SeedWorm)에서 실행한 공격을 발견 후 공지했습니다. 이번 공격의 배후에 있는 공격자는 2014년 Dridex 뱅킹 트로이목마를 배포를 시작으로 활동을 시작한 TA505입니다. 이 그룹은 피해자를 딱히 가리지 않는 것으로 알려져 있습니다. 지난 몇 년 동안 공격자는 백도어부터 랜섬웨어까지 다양한 악성코드를 배포하는 공격을 실행해왔습니다. 최근에는 Clop 랜섬웨어를 배포한 것으로 나타났습니다. 이들은 작년 네덜란드의..

국내외 보안동향 2020. 10. 12. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 통칭 ‘WastedLocker’라 불리는 랜섬웨어는 기업을 대상으로 공격이 이루어지는 것으로 알려져 있습니다. 실제 지난달 7월 말 스마트워치와 웨어러블 기기 제조사인 가민(Gamin)이 랜섬웨어 공격을 받아 서비스 일부를 중단된 사례가 있습니다. 또한 이 랜섬웨어를 제작한 그룹은 뛰어난 기술력을 소유한 ‘Evil Corp’ 또는 ‘TA505’로 해킹 그룹의 소행으로 알려져 있습니다. [그림] 이메일 화면 이 악성코드는 로컬에 존재하는 파일을 암호화시켜 감염자에게 파일 복호화를 대가로 돈을 받는 랜섬웨어의 한 종류입니다. 파라미터를 통하여 기능을 구별하여 실행하고 NTFS의 ADS(Alternate Data Stream)을 이용하여 악성코..

악성코드 분석 리포트 2020. 8. 18. 09:00

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2020년 1월부터 6월까지 상반기 기간동안 ESRC 내부적으로 운영하고 있는 이메일 모니터링 시스템을 통해 확인한 악성 이메일 위협 관련 특징 및 통계에 대해 정리해보았습니다. 1. 2020년 상반기 수집된 이메일 통계 [그림 1] 2019년 하반기 및 2020년 상반기에 수집된 이메일 통계 2020년 상반기 수집된 이메일은 총 4,704건으로 지난해 하반기 6,611건 보다 무려 28%가 줄었습니다. 이는 2019년 하반기부터 2020년 2월까지 다수 유포되었던 Emotet과 TA505 Campaign의 영향으로 볼 수 있습니다. [그림 2] 2020년 상반기에 수집된 월별 이메일 통계 2020년 상반기 유입량을 월별로 살펴보면 1분기동안 유..

악성코드 분석 리포트 2020. 7. 8. 17:46

안녕하세요이스트시큐리티 대응센터(ESRC) 입니다. 금일 오전, 국내 기업에 특정 회계법인을 위장한 악성 메일이 유포되어 기업 사용자 여러분들의 주의가 필요합니다. 이번 공격 역시 최근 공격을 재개한 TA505 조직의 소행으로 추정되고 있습니다. 해당 악성메일에는 첨부파일 대신 드롭박스 링크가 포함되어 있습니다. [그림 1] 드롭박스 링크가 포함된 악성 메일 사용자가 해당 드롭박스 링크를 클릭한다면, 악성 매크로가 포함된 .xls 파일이 내려받아지며 엑셀 파일에서 매크로를 실행할 경우, 아래의 경로에 DLL 파일을 드롭 및 로드하는 기능이 수행됩니다. ‘C:\Users\[사용자 계정]\AppData\Roaming\Microsoft\Windows\Templates\libDxdiag1.dll’ [그림 2] ..

악성코드 분석 리포트 2019. 10. 22. 13:27

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 상반기, 클롭 랜섬웨어를 국내 기업에 대량으로 유포한 이후 지금까지 꾸준히 국내 기업들을 상대로 사이버 공격을 진행하고 있는 TA505조직이 공격을 재개하였습니다. 어제(17일)부터 재개된 TA505 조직의 공격은 금일(18일)까지 이어지고 있습니다. ▶ TA505조직, 악성 이메일을 활용해 한국 공격 재개 금일 발생한 공격들의 특징은 오전 10시 이전에 이메일을 발송하였으며, 일부의 경우 10월 급여명세서라는 제목으로 유포하므로써 감염률을 높이려고 시도하였습니다. [그림1] 견적서로 위장한 악성 메일 [그림 2] 급여명세서로 위장한 악성메일 및 악성파일 실행 과정 공격 방식은 어제와 동일하게 악성 매크로가 포함된 xls 파일이 첨부되어 있거나..

악성코드 분석 리포트 2019. 10. 18. 11:09

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 10월 17일) 오전부터 국내 기업들을 대상으로 악성 파일과 링크를 삽입한 스팸 메일이 대량으로 유포되고 있어 사용자들의 각별한 주의가 필요합니다. ESRC에서는 TA505 조직의 소행으로 추측하고 있으며, 스팸 메일에는 별다른 본문 내용 없이 xls 파일을 첨부하거나, Onedrive 링크를 삽입했습니다. [그림 1] 악성 xls 파일을 첨부한 스팸 메일 [그림 2] 악성 Onedrive 링크를 첨부한 스팸 메일 악성 엑셀 파일을 첨부한 메일의 경우, 위의 그림과 같이 특정 이름으로 유포되었으며, Onedrive 링크를 첨부한 메일의 발신 주소는 국내 중소기업 명을 사칭하였습니다. 해당 메일을 받은 사용자가 호기심에 첨부된 엑..

악성코드 분석 리포트 2019. 10. 17. 17:11

Russian Hacking Group Targeting Banks Worldwide With Evolving Tactics 주로 구 소련 국가 및 주변 국가의 금융 기관을 노리는 것으로 알려진 러시아어를 구사하는 사이버 범죄 그룹 Silence APT가 최근에는 미국, 유럽, 아프리카, 아시아를 노리는 것으로 나타났습니다. 2016년 9월부터 활동해온 Silence APT 그룹은 방글라데시에 위치한 Dutch-Bangla Bank를 공격해 며칠 동안 ATM 현금 인출을 통해 3백만 달러 이상을 탈취하기도 했습니다. Group-IB에 따르면, 이 해킹 그룹은 최근 몇 달간 공격 대상 지역을 크게 확장하고, 공격 캠페인 빈도도 늘렸으며 악성코드 또한 강화시켰습니다. Silence APT 해킹 그룹은 그들의..

국내외 보안동향 2019. 8. 22. 14:29