안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 싱가폴 한인 교회 유치원에서 허위로 발주 된 구매주문서로 사용자의 계정을 노리는 피싱 메일이 발견되어 사용자들의 주의가 필요합니다. [그림 1] 구매발주 제목으로 유포 된 이메일 화면 해당 메일은 TT00, TT4.5 구매 주문에 대한 발주서를 첨부 파일로 추가했습니다. 해당 메일에는 'T T00 구매 주문 -009111.zip', 'T T4.5 구매 주문 -009111.zip'라는 ZIP 파일이 첨부되어 있다. 사용자가 해당 첨부파일을 다운로드하여 압축 해제 후, 안에 있는 파일을 실행하면 아래와 같은 htm 파일을 확인할 수 있다. [그림 2] 첨부파일 내부 화면 해당 메일을 받은 사용자가 구매 발주 확인을 위해 첨부파일을 다운로드하고 내부 파일을..

악성코드 분석 리포트 2020. 3. 12. 09:14

안녕하세요. ESRC(이스트시큐리티 시큐리티대응센터)입니다. 최근 코로나19 바이러스로 인해 마스크 수요가 증가하자 인터넷 거래를 유도하여 국내 포털 사이트의 계정과 개인 정보 및 금전적인 이득을 취하는 중고마켓 사기가 발생하고 있어 사용자들의 주의가 필요합니다. 허위 마스크 판매자는 실제 중고마켓에 마스크 판매 글을 올려 직거래나 택배 판매는 안되고 연락을 특정 메신저를 통해서 받고 있으며, 메신저를 통해 연락 시 사용자에게 허위 안전거래 사이트 링크를 전달하는 방식으로 접근하고 있습니다. [그림 1] 메신저를 통한 허위사이트 전달 화면 판매자가 전달 한 링크를 클릭하면 특정 중고마켓 사이트와 동일하게 만들어진 허위 사이트로 이동하게 됩니다. [그림 2] 중고마켓 사이트와 유사하게 만들어진 허위 사이트..

악성코드 분석 리포트 2020. 3. 11. 08:40

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 수신자 은행 계좌번호가 변경되었음을 알리는 허위 안내서로 사용자의 계정을 노리는 금융 피싱 메일이 발견되고 있어 사용자들의 주의가 필요합니다. [그림 1] 은행 계좌 번호 변경 제목으로 유포된 이메일 화면 해당 메일은 수신자 은행 계좌번호가 변경되었음을 알리는 안내서를 첨부 파일로 추가했습니다. 만약 사용자가 해당 첨부 파일을 다운로드하여 압축 해제하고 안에 있는 파일을 실행하면 아래와 같은 htm 파일을 확인할 수 있습니다. [그림 2] 첨부파일 내부 화면 해당 계정 피싱 메일을 받은 사용자가 은행 계좌번호 변경 확인을 위해 첨부파일을 다운로드하고 내부 파일을 실행하면 국내 포털 사이트를 가장한 로그인 화면으로 이동됩니다. [그림 3] 첨부 파일 실..

악성코드 분석 리포트 2020. 3. 6. 13:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 국내에 Nemty 랜섬웨어를 유포하던 비너스락커 조직이 Nemty 랜섬웨어가 아닌 Makop 랜섬웨어를 대량으로 유포중에 있어 사용자들의 주의가 필요합니다. ※ 관련글 바로가기 ▶ 이력서 이메일을 위장하여 유포중인 Nemty 랜섬웨어 주의! 비너스락커 조직으로 추정 (2020.01.20)▶ 공정거래위원회를 사칭한 악성 메일 주의! 비너스락커 조직의 소행으로 추정 (2020.01.03) ▶ 비너스락커 조직, Nemty 2.2 랜섬웨어 여전히 유포중 (2019.12.10)▶ 비너스락커 조직, 구직의뢰 내용으로 Nemty 랜섬웨어 2.2 확산 중(2019.12.04)▶ Nemty 랜섬웨어, 공문을 사칭한 악성 메일을 통해 지속적으로 유포중! (2019.11..

악성코드 분석 리포트 2020. 3. 4. 15:43

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 유포중이던 Sodinokibi 랜섬웨어에 특이점이 발견되었습니다. 기존 Sodinokibi 랜섬웨어와 비교하면 이번에 확인된 Sodinokibi 역시 대동소이합니다. 일단 해당 Sodinokibi에 감염되면, 사용자PC에 저장된 특정 확장자 파일을 암호화하고 파일 확장자명을 기존 파일명 뒤에 일괄적으로 x35g0t03으로 붙여서 변경합니다. 또한 'Your files are encrypted !!!'라는 메시지를 포함한 푸른색 노이즈 이미지를 바탕화면으로 설정하는 동시에 x35g0t03-README-PLEASE라는 랜섬노트 파일을 띄웁니다. [그림 1] Sodinokibi에 감염되어 바탕화면 변경 및 랜섬노트 실행된 PC 화면 ※ 소디노키비(Sodin..

악성코드 분석 리포트 2020. 3. 3. 17:26

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 2020년 02월 28일, 이력서 양식 한글문서(hwp)로 위장한 scr파일을 이용한 APT(지능형지속위협) 공격이 등장했습니다. 해당 APT 공격에 이용된 파일의 알약 탐지명은 Trojan.Agent.115608C / Trojan.Agent.Detplock 입니다. 이번 공격은 지난 2019년 12월 04일 공개된 바 있는 '김수키 조직, 청와대 녹지원/상춘재 행사 견적서 사칭 APT 공격' 사례(블루 에스티메이트 캠페인)의 5번째 변종으로 확인되었습니다. ※ 관련글보기 ▶ 김수키(Kimsuky) 조직, 실제 주민등록등본 파일로 둔갑한 '블루 에스티메이트 Part3' APT 공격 주의 (2020.02.06)▶ 청와대 행사 견적서 사칭 변종,..

악성코드 분석 리포트 2020. 3. 2. 13:04

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 비영리 기관의 계정을 노리는 계정 피싱 메일이 급증하고 있어 사용자들의 주의가 필요합니다. 해당 메일들은 수신자 메일 계정의 비정상적인 상태를 알리며 로그인을 하도록 사용자의 클릭을 유도하는 방식을 사용하고 있습니다. [그림 1] 계정 이상 관련 제목으로 유포 된 이메일 화면 해당 계정 피싱 메일을 받은 사용자가 본인 메일 이상 확인을 위해 본문에 기재된 링크를 클릭할 경우 메일 로그인 화면으로 이동하게 됩니다. [그림 2] 본문 링크 클릭 시 메일 로그인 화면 계정 피싱 타깃이 된 사용자는 본인 회사 사이트로 착각하여 로그인 계정과 패스워드를 입력할 경우, 개인 정보 수집 사이트로 입력된 개인 정보가 전송됩니다. 전송된 개인 정보 항목과 도메인 정보..

악성코드 분석 리포트 2020. 2. 29. 08:30

안녕하세요. ESRC(시큐리티 대응센터) 입니다. 최근 코로나19 바이러스 관련 국내 확진자 수가 1,000명을 돌파하면서 코로나19에 대한 공포감이 확산되는 분위기를 악용하여 악성코드가 포함된 이메일이 유포되고 있어 사용자들의 주의가 필요합니다. 이스트시큐리티 ESRC에서 이미 여러차례 코로나 19 이슈를 악용한 악성코드에 대해 주의를 당부드렸지만, 모두 외국어로 된 이메일들 이었습니다. 그러나, 2월 26일(수)에 한글로 작성된 코로나 19 바이러스 사칭 악성코드가 발견되어 국내 사용자들의 각별한 주의가 필요합니다. 이번 공격은 꾸준히 국내 기업/기관을 대상으로 스피어피싱과 APT 공격을 지속해 오고있는 김수키(Kimsuky) 조직의 소행으로 추정되고 있으며, 기존의 김수키(Kimsuky) 조직 공격..

악성코드 분석 리포트 2020. 2. 28. 13:07