안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 국내 인터넷주소자원을 관리하는 한국인터넷정보센터를 사칭한 악성 이메일이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 "[인터넷주소정책위원회 알림] 인터넷주소 정책결정 내역"이라는 제목을 사용하며, 인터넷주소 정책결정의 투명성과 실효성을 높이기 위해 일반국민의 의견 수렴을 빌미로 발송 되었고, 비밀번호가 설정 된 "고객정보_KRNIC0A0015.doc" 문서파일이 첨부되어 있습니다. 첨부 된 doc 문서 파일은 매크로가 포함되어 있으며, 문서가 실행되면 인터넷이 연결되지 않아 콘텐츠를 불러올 수 없다는 내용과 '콘텐츠 사용(Enable Conten)' 버튼의 클릭을 유도합니다. 추가로 발견 된 doc 문서는 가상화폐 거래소 바이낸스(Bi..

악성코드 분석 리포트 2022. 3. 25. 02:31

최근 국내 유명 언론사, 민간 정책연구소, 전문 학회 등을 사칭해 안보·통일·외교 정책 분야 전문가를 대상으로 전 방위적 해킹 시도가 지속적으로 수행되고 있어 각별한 주의가 필요합니다. 이번 해킹 공격 배후 세력으로는 2021년 상반기 연이어 발생하는 위협 그룹 중 가장 활발한 움직임을 보이고 있는 ‘탈륨(Thallium)’ 조직이 다시 지목되었습니다. 이번 사건에 연루된 ‘탈륨’은 미국 마이크로소프트(MS)로부터 정식 고소를 당해 국제 사회에 주목을 받은 해킹 조직으로, 한국에서는 외교·안보·통일·국방 전현직 관계자를 주요 해킹 대상으로 삼아 사이버 첩보전 활동을 활발히 전개하며, 얼마전 통일부를 사칭한 피싱 공격도 이들 소행으로 확인된 바 있습니다. 탈륨 그룹은 주로 국내 외교 안보분야 전문가로 활동..

악성코드 분석 리포트 2021. 3. 10. 09:31

Hackers Now Hiding ObliqueRAT Payload in Images to Evade Detection 사이버 범죄자들이 감염된 웹사이트에서 호스팅되는 이미지에 숨겨 원격 액세스 트로이목마(RAT)을 확산시키고 있는 것으로 나타났습니다. 이로써 공격자들이 그들의 전략이 노출될 경우 어떻게 신속하게 전략을 변경하는지 알 수 있었습니다. Cisco Talos의 새로운 연구에 따르면, 이 새로운 악성코드 캠페인은 ObliqueRAT을 확산시키는 매크로가 숨겨진 악성 마이크로소프트 오피스 문서를 이용하여 남아시아에 위치한 조직들을 노립니다. 2020년 2월 처음으로 문서화된 이 악성코드는 ‘Transparent Tribe(Operation C-Major, Mythic Leopard, APT36로..

국내외 보안동향 2021. 3. 4. 14:40

North Korean hackers target defense industry with custom malware 북한의 해킹 그룹이 민감 정보를 수집하는 것을 목표로 2020년 초부터 ThreatNeedle이라는 커스텀 백도어 악성코드를 이용하여 방위 산업체를 노리고 있는 것으로 나타났습니다. 이 스파잉 캠페인은 약 12개국 이상의 조직에 영향을 미쳤으며, 북한 정부의 지원을 받는 해커의 작업인 것으로 나타났습니다. 공격자는 회사의 기업 네트워크에 침투하기 위한 초기 액세스 벡터로 코로나19를 주제로 한 악성 첨부파일 또는 링크를 포함한 스피어 피싱 이메일을 사용합니다. 초기 해킹 이후, 이들은 2018년 가상화폐 비즈니스를 노린 공격에 처음 사용된 그룹의 커스텀 ThreatNeedle 백도어 악성코..

국내외 보안동향 2021. 2. 26. 14:30

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 이메일에 악성 파일을 첨부해 감염을 유도하는 전형적인 스피어 피싱(Spear Phishing) 수법의 악성 DOCX 문서파일 2개가 발견됐습니다. 이번 공격에는 2가지 종류의 악성 문서 파일이 포착됐는데, 기능적으로는 동일한 형태로 분석됐습니다. ● 2021-0112 종합 당대회평가.docx ● 당대회 결론.docx 각 문서 파일은 서로 다른 내용을 담고 있지만, 위협 요소적인 측면으로 보면 같은 동작과 기능을 수행하게 됩니다. 문서가 처음 실행되면 다음과 같이 워드(docx) 내부 'settings.xml.rels' 코드에 선언된 'attachedTemplate' 타깃 주소를 호출합니다. 이때 사용된 호스트 서버 주소는 'reform-oue..

악성코드 분석 리포트 2021. 2. 8. 21:17

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 최근 미국 바이든 행정부 출범 기획 설문지로 위장한 해킹 공격이 수행중인 것으로 확인되어 각별한 주의가 필요합니다. 해당 공격 배후로는 국제사회에 북한 정부가 연계된 것으로 알려진 해킹 조직 ‘탈륨(Thallium)’이 지목되었으며, 해당 그룹은 2021년에도 가장 활발하게 공격을 수행 중인 지능형지속위협(APT) 그룹 중 하나입니다. 2019년말 미국 마이크로소프트(MS)로부터 정식 고소를 당하며 국제 사회에 주목을 받은 해킹 조직으로, 김수키(Kimsuky)라는 별칭도 가지고 있는 탈륨 조직은 한국과 미국 등을 포함해 글로벌 위협 활동을 펼치고 있으며, 대북 분야 민간단체나 정치·외교·안보·통일·국방 전현직 관계자를 대상으로 광범위한 사이버..

악성코드 분석 리포트 2021. 1. 18. 15:14

A new variant of the IcedID banking Trojan spreads using COVID-19 lures 새로운 버전의 IcedID 뱅킹 트로이목마 변종이 코로나19를 미끼로 사용하는 공격을 통해 배포되고 있는 것으로 나타났습니다. 이 새로운 변종은 피해자를 감염시키고 탐지를 피하기 위해 스테가노그라피 기술을 사용합니다. Juniper Threat Labs의 연구원들은 미국의 사용자들을 노리는 코로나19 테마 스팸 캠페인을 발견했습니다. 새로운 악성코드 버전은 피해자의 웹 활동을 스파잉하는 것도 가능했습니다. 사용자가 무기화된 첨부파일을 오픈하면 IcedID 뱅킹 트로이목마가 로드될 것입니다. IcedID는 2017년 처음 등장했으며 Gozi, Zeus, Dridex 등 다른 금융..

국내외 보안동향 2020. 6. 23. 10:27

안녕하세요.이스트시큐리티 ESRC(시큐리티대응센터)입니다. ‘Konni’ 조직의 APT 공격 방식과 매우 유사한 특징을 가진 문서 파일이 포착되었습니다. 특히 이번 문서 파일은 본문 내용에 2020년 초 국내에서 큰 이슈가 되었던 악질적인 디지털 성범죄 이슈였던 'n번방' 관련 이슈를 다루고 있는 것이 특징입니다. (제목 : nth_room_event1.doc) 이번에 확인된 악성문서는 기존 공격방식과 유사하게 문서 실행 시 아래와 같이 매크로 실행을 유도합니다. 이전에 발견된 Konni 악성코드 문서와 동일하게 본문 내용 색깔이 흰색으로 작업되어 있는 것을 확인할 수 있습니다. [그림 1] nth_room_event1.doc 실행 화면 매크로 기능은 %userprofile% 경로에 ‘ok.exe’ 파일..

악성코드 분석 리포트 2020. 6. 15. 17:56