안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 한글로 작성된 '긴급제작 의뢰 요청' 및 '견적 요청' 메일로 사칭한 악성 메일이 다수 유포되고 있습니다. [그림 1] '긴급제작의뢰 요청자료목록'이라는 제목으로 유포중인 악성메일 본문 [그림 2-1] '견적 요청의 건'이라는 제목으로 유포중인 악성메일 본문 [그림 2-2] '견적요청드립니다'라는 제목으로 유포중인 악성메일 본문 '긴급제작 의뢰 요청' 메일 및 '견적 요청'의 경우 직접 Cab형식의 압축파일을 메일에 첨부하는 경우도 있지만, 다음 대용량 파일 링크에 악성코드가 포함된 압축파일을 업로드하여 배포하는 케이스 역시 다수 확인되고 있는 상황입니다. 메일에 작성된 발신자 정보는 실제 존재하는 회사를 사칭하여 작성된 것이 확인되었으며,..

악성코드 분석 리포트 2020. 6. 2. 17:18

안녕하세요.이스트시큐리티 시큐리티대응센터(ESRC)입니다. 5월 27일 ‘국세청 전자 세금계산서 발급 메일 안내’로 위장한 악성 이메일이 국내 공공기관 및 기업 종사자를 대상으로 유포되고 있어 각별한 주의가 필요한 상황입니다. [그림 1] 국세청 홈택스 전자세금계산서 발급 안내로 사칭한 이메일 화면 이번 공격은 악성 파일을 첨부한 이메일을 특정 대상에게 발송하는 스피어 피싱 이메일 공격 방식을 사용하고 있습니다. 특히 이번에 확인된 공격의 경우, 기존 국세청 hometax(홈택스) 사칭 공격에서 한단계 진화해 발신지 도메인까지 실제 홈택스 도메인 주소(hometaxadmin@hometax.go[.]kr)처럼 정교하게 조작한 것으로 분석되었습니다. 따라서 단순히 육안 상으로 발신지 주소만으로는 악성 여부를..

악성코드 분석 리포트 2020. 5. 27. 17:39

안녕하세요. 이스트시큐리티 대응센터(ESRC)입니다. 5/25 오전부터 공정거래위원회를 사칭하여 '전자상거래 위반행위 조사통지서'라는 타이틀로 공공기관 및 공공기관 관련 기업들에게 다수의 랜섬웨어 이메일이 유포되고 있어 주의가 필요합니다. 비너스락커 조직의 소행으로 추정되는 이번 랜섬웨어 이메일 공격은 마치 공정거래위원회 사무관이 관련 기관 및 기업에 보낸 메일처럼 위장하고 있으며, 메일 본문에는 공정거래위원회가 보낸 공문처럼 한글로 정교하게 작성된 내용이 포함되어 있습니다. [그림 1] 공정거래위원회 사칭 랜섬웨어 이메일 본문 메일 첨부파일은 이중압축되어 있으며, 사용자가 해당 메일에 첨부된 압축파일 내에 존재하는 문서로 위장된 악성코드를 실행하게 되면 Makop 랜섬웨어 변종에 감염됩니다. 특히, 해..

악성코드 분석 리포트 2020. 5. 25. 17:21

안녕하세요.이스트시큐리티 시큐리티대응센터(ESRC)입니다. 5/25 OLE 내부에 PE가 포함된 형태의 악성문서가 첨부된 메일이 발견되었습니다. "Scan Copy_PO#~~"라는 제목의 이 악성 메일에는 공격자에 의해 조작된 Word 문서가 포함되어 있으며, 메일 본문은 어색한 한국어로 작성되어 있습니다. ESRC에서는 해당 피싱 메일에 첨부된 악성 파일 (SCAN+COPY.doc/Scan+Copy.docx.exe)에 대해 분석해 보았습니다. 유포 중인 악성 이메일은 첨부된 사진 스캔 사본을 확인하라는 내용을 담고 있습니다. [그림 1] 악성 메일 본문 첨부된 doc 문서를 확인하면 아래와 같이 ‘보안 파일을 보려면 누르십시오’라는 안내를 보여주며 사용자의 클릭을 유도합니다. [그림 2] 사용자의 클릭..

악성코드 분석 리포트 2020. 5. 25. 16:26

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 4월 초부터 5월 중순까지 꾸준히 Nemty 랜섬웨어 시리즈를 유포중인 비너스락커 조직의 공격이 여전히 지속되고 있습니다. 4월 초에 '공정거래위원회'를 사칭하거나 혹은 '이력서'로 위장하여 Nemty 3.1 랜섬웨어를 유포했던 공격자는 5월 초부터는 '이미지 무단사용 경고' 키워드를 활용하거나 4월 초와 유사하게 '이력서'를 사칭한 Nemty Special Edition 랜섬웨어를 유포했습니다. 특히 공격자는 5월 초에는 Nemty 랜섬웨어를 유포하는 동시에 정보탈취 악성코드까지 유포를 시도했습니다. 5월 18일에도 또 다시 '이력서'를 사칭하여 지난 5월 중순과 동일하게 Nemty Special Edition을 유포중인 것이 확인되어 주의가 ..

악성코드 분석 리포트 2020. 5. 19. 13:07

안녕하세요. ESRC입니다. 코로나19(Covid-19) 바이러스 키워드를 활용하여 작성된 악성 이메일들이 국내로 지속적으로 유입되고 있습니다. 4월 초에도 인천광역시 감염병 관리지원단을 사칭하여 한글로 작성된 이메일이 유포되었으며, 코로나 19 바이러스가 워낙 글로벌한 이슈이다보니 영문으로 작성된 코로나 19 바이러스 관련 이메일들은 매우 자주 발견되고 있는 상황입니다. ※ 관련 글 보기 ▶ '인천광역시 코로나바이러스 대응' 제목으로 유포중인 악성 메일 주의! (20.04.07) ▶ 김수키(Kimsuky)조직, 코로나 바이러스 이슈를 악용하여 MacOS MS오피스 사용자를 타겟으로 진행중인 APT 공격 주의! (20.03.21) ▶ 한글로 작성된 코로나바이러스 이슈 악용 Hoax 주의! (20.03.1..

악성코드 분석 리포트 2020. 4. 8. 14:22

New Coronavirus-Themed Malware Locks You Out of Windows 코로나 바이러스 팬데믹 상황으로 인해 학교가 문을 닫아 일부 학생들이 악성코드를 작성 중인 것으로 보입니다. MBRLocker의 다양한 변종이 개발되었는데 이 중에는 코로나바이러스를 악용하는 사례도 있었습니다. MBRLocker는 컴퓨터의 MBR(마스터 부트 레코드)를 덮어쓰기 해 부팅 시 OS가 시작되지 못하게 하고 랜섬노트나 기타 메시지를 표시하는 프로그램입니다. Petya 및 GoldenEye와 같은 MBRLockers는 드라이브 내 파티션 정보를 포함한 테이블 또한 암호화 하기 때문에, 코드를 입력하거나 랜섬머니를 지불하는 것 이외에는 파일에 접근하거나 MBR을 재 빌드하는 것이 불가능합니다. 코로..

국내외 보안동향 2020. 4. 3. 10:05

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 현재 코로나 19 바이러스(COVID-19) 전염병은 전세계적으로 확산 추세이며, 3/30 현재(글 작성 시점)까지 약 200여개국에서 확진자 약 70만명 / 사망자 약 3만3천여명을 기록하고 있어 WHO(World Health Organization)에서는 팬데믹 선언을 하기까지 이르렀습니다. 전세계적으로 이러한 신종 코로나 바이러스가 확산되면서 이 '코로나' 키워드를 활용한 사이버 공격 건수도 함께 급증하고 있습니다. ESRC에서 2020년 2월 초부터 3월 말까지 약 2달간 '코로나' 키워드로 수집/등록한 DB만 해도 약 400여 건에 이르며 그중 Top15 악성코드를 꼽아보면 다음과 같습니다. [그림 1] 코로나 키워드를 활용해 유포된 ..

전문가 기고 2020. 3. 31. 23:10