안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2020년 4월에 처음 등장한 Bazar 악성코드는 미국 및 유럽 전역의 전문 서비스, 의료, 제조, IT, 물류 및 여행 회사를 공격 대상으로 하고 있으며, 주로 피싱 이메일을 통하여 공격이 이루어지고 지속적으로 진화를 거듭해오고 있습니다. Bazar로더는 Trickbot 로더와 마찬가지로 해킹된 유효한 디지털 인증서를 이용하여 탐지를 회피합니다. 그리고 Bazar 로더는 명령 및 제어를 위해 EmerDNS(.bazar) 블록체인 도메인(도메인 차단 방지용)을 사용하여 C2서버와 통신하며, 필요한 API 및 문자열 등이 난독화 되어 있어 자동 및 수동 분석을 방해하고 암호화된 백도어를 메모리에만 로드하여 실행합니다. Bazar 악성코드는..

악성코드 분석 리포트 2021. 8. 19. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 해외에서도 스미싱 공격이 유행입니다. 최근에 발견된 Flubot 악성 앱도 문자메시지를 통해 전파되며 피해자의 금융 정보 탈취를 목적으로 제작된 악성 앱입니다. 문자메시지는 Fedex와 같은 택배 회사를 사칭하고 있으며 한국과 비슷하게 택배 수령 날짜 등의 정보를 확인이 필요하다는 내용으로 구성되어 있습니다. 피해자가 문자메시지의 내용에 속아 메시지 내의 링크를 클릭하면 악성 앱 설치를 유도하는 웹 페이지를 방문하게 되고 웹 페이지의 안내에 따라 악성 앱을 설치하게 되는 식입니다. 스미싱 공격은 사용자의 예방 노력이 무엇보다 중요합니다. 링크 등을 통한 앱 설치 시 본인의 스마트폰이 위협에 노출될 수 있음을 인지하고 주의를 기울여야 하며 ..

악성코드 분석 리포트 2021. 7. 20. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. Trojan.PSW.Ficker(이하 ‘Ficker Stealer’)는 MaaS(Malware as a Service)로 제공되는 정보 유출 악성코드로, 음원 관련 특정 애플리케이션의 사칭이나 Hancitor 다운로더 등에 의해 유포가 되는 것으로 알려져 있습니다. 이 악성코드는 감염 PC 정보와 웹 브라우저 등의 애플리케이션 크리덴셜 정보 탈취와 더불어 추가 페이로드 다운로드 실행 기능을 수행합니다. 'Ficker Stealer’는 감염 PC 정보, 애플리케이션 크리덴셜 정보 탈취 기능과 추가 페이로드 다운로드 기능을 가진 악성코드입니다. 로컬 정보를 확인하여 동구권 국가인 경우 프로그램 종료하는 점, 정보 탈취 목적과 더불어 추가 페이..

악성코드 분석 리포트 2021. 7. 19. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 발견되는 악성 앱 중 피해자의 금전 탈취를 위해 정교하게 만들어진 앱을 살펴보도록 하겠습니다. 해당 앱은 예전부터 주기적으로 확인되었으며 현재까지 매주 1~2개씩 발견되고 있습니다. 또한, 목적이 보이스 피싱 공격이므로 공격 흐름은 악성 앱을 해당 기기에 설치하는 것부터 시작됩니다. 이후 개인 정보 탈취를 비롯한 스마트폰의 통화 기능을 장악하여 피해자의 통화를 유도하고 변조하여 최종 목표인 금전 탈취를 달성하게 됩니다. Trojan.Android.Banker는 보이스 피싱 공격을 통해 피해자의 금전 갈취를 주요 목적으로 하고 있습니다. 각종 신뢰할 수 있는 기관이나 은행들을 사칭하여 피해자가 구별하기 더욱 힘들게 하고 있습니다. 따라..

악성코드 분석 리포트 2021. 6. 22. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. Trojan.Ransom.Conti’(이하 ‘Conti’) 랜섬웨어는 2019년 12월에 처음 배포된 것으로 확인되었습니다. 최근 400개 이상의 조직이 Conti 랜섬웨어 공격의 표적이 되었으며, 16건의 공격은 의료 기관 시스템에서 알려졌습니다. Conti 랜섬웨어는 파일 암호화 기능을 수행하는 랜섬웨어입니다. 랜섬노트에서 안내되는 다크넷에서 추가로 대화가 입력되면서 이용자에게 금전을 탈취하는 점이 특징입니다. 랜섬웨어의 특성 상, 기업체나 일반 이용자 입장에서 사용자 정보가 담긴 파일을 암호화할 수 있기 때문에 금전, 정보 유출 등의 피해가 발생될 수 있어 주의가 필요합니다. 따라서, 악성코드 감염을 방지하기 위해 출처가 불분명한 이..

악성코드 분석 리포트 2021. 6. 21. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 은행을 사칭하는 스미싱 공격의 특징은 링크로 접속 시 은행의 대출 관련 내용으로 꾸며진 가짜 웹페이지를 노출시킵니다는 점입니다. 때마침 피해자가 대출에 관심이 있다면 악성 앱을 다운로드해 설치하게 되며 공격자는 설치된 악성 앱을 통해 피해자의 개인 정보를 탈취하여 2차 공격인 보이스피싱을 수행하게 됩니다. Trojan.Andorid.KRBanker 공격은 2차 공격을 통한 금전 갈취가 주요 목적입니다. 스미싱 공격의 표적이 되어 금전 갈취를 당하게 된다면 피해자는 경제적으로 심각한 타격을 입을 수도 있을 것입니다. 따라서 스미싱 공격을 예방하기 위한 노력이 필요합니다. 이런 스미싱 공격들의 피해 예방은 보기보다 간단합니다. 수신 문자의 내..

악성코드 분석 리포트 2021. 5. 21. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. '콜로니얼 파이프라인'이 지난 7일 동유럽 해킹 집단 '다크사이드'의 랜섬웨어 공격을 받아 버지니아, 사우스캐롤라이나 등 미국에서 주유 난이 시작되었습니다. 해당 집단은 지난달에도 이탈리아 최대 협동조합 신용 은행을 공격하여 시스템을 마비시켰습니다. DarkSide 랜섬웨어는 사용자 PC의 데이터를 암호화하여 금전을 요구하는 악성코드입니다. 서비스형 랜섬웨어(RaaS)로 사용자 PC에 악성 행위 로그를 남기는 것이 특징입니다. 또한 로컬 드라이브와 네트워크 드라이브로 연결된 모든 파일을 암호화 대상에 포함하고 C&C 연결을 하지 않아도 암호화되기 때문에 보안을 위해 폐쇄망을 사용하는 기업들도 랜섬웨어 공격에 더 큰 주의를 기울여야 합니다...

악성코드 분석 리포트 2021. 5. 20. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 몸캠피싱 공격은 스마트폰 채팅 어플 등을 통해 피해자를 찾는 것으로 시작됩니다. 이후 채팅을 통해 피해자의 호감을 산 뒤 공격자는 음란 화상 채팅을 유도합니다. 이때 공격자는 피해자의 음란 행위를 녹화합니다. 그리고 피해자의 스마트폰에 악성 앱 설치를 유도하여 피해자가 악성 앱 설치를 하면 연락처 등의 개인 정보를 탈취한 후 음란행위 영상을 지인에게 유포하겠다는 협박을 통해 금전을 갈취하는 것으로 공격을 마무리합니다. 몸캠피싱은 피해자의 금전 갈취를 주요 목적으로 하고 있습니다. 공격자는 금전 갈취라는 목적을 위해 Spyware.Android.Agent 악성 앱을 수단으로 활용하고 있는 것입니다. 몸캠피싱 공격은 사용자의 예방 노력이 무엇..

악성코드 분석 리포트 2021. 4. 20. 09:00