안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 통칭 ‘Dridex’ 라고 불리는 금융 정보 탈취 악성코드가 해외에서 기업을 대상으로 공격이 이루어졌습니다. 이 악성코드는 2014년부터 발견되어 최근까지도 대량 유포 중이며 이를 제작한 그룹은 뛰어난 기술력을 소유한 ‘Evil Corp’ 또는 ‘TA505’로 해킹 그룹의 소행으로 알려져 있습니다. 지난 9월 다음과 같은 메일이 수신되었습니다. 운송회사를 사칭한 메일로 연체된 송장을 확인하라는 내용입니다. [그림] 이메일 화면 특히 TA505그룹은 축적된 기술로 인하여 분석 및 탐지가 어려운 특징이 있습니다. 과거에는 국외에서 다량 유포되고 있지만 최근 국내 기업을 대상으로도 유포가 되고 있어 사용자들의 주의가 필요합니다. 따라서 이러한 ..

악성코드 분석 리포트 2020. 10. 20. 09:00

안녕하세요. ESRC입니다. 코로나19(Covid-19) 바이러스 키워드를 활용하여 작성된 악성 이메일들이 국내로 지속적으로 유입되고 있습니다. 4월 초에도 인천광역시 감염병 관리지원단을 사칭하여 한글로 작성된 이메일이 유포되었으며, 코로나 19 바이러스가 워낙 글로벌한 이슈이다보니 영문으로 작성된 코로나 19 바이러스 관련 이메일들은 매우 자주 발견되고 있는 상황입니다. ※ 관련 글 보기 ▶ '인천광역시 코로나바이러스 대응' 제목으로 유포중인 악성 메일 주의! (20.04.07) ▶ 김수키(Kimsuky)조직, 코로나 바이러스 이슈를 악용하여 MacOS MS오피스 사용자를 타겟으로 진행중인 APT 공격 주의! (20.03.21) ▶ 한글로 작성된 코로나바이러스 이슈 악용 Hoax 주의! (20.03.1..

악성코드 분석 리포트 2020. 4. 8. 14:22

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 10월 17일) 오전부터 국내 기업들을 대상으로 악성 파일과 링크를 삽입한 스팸 메일이 대량으로 유포되고 있어 사용자들의 각별한 주의가 필요합니다. ESRC에서는 TA505 조직의 소행으로 추측하고 있으며, 스팸 메일에는 별다른 본문 내용 없이 xls 파일을 첨부하거나, Onedrive 링크를 삽입했습니다. [그림 1] 악성 xls 파일을 첨부한 스팸 메일 [그림 2] 악성 Onedrive 링크를 첨부한 스팸 메일 악성 엑셀 파일을 첨부한 메일의 경우, 위의 그림과 같이 특정 이름으로 유포되었으며, Onedrive 링크를 첨부한 메일의 발신 주소는 국내 중소기업 명을 사칭하였습니다. 해당 메일을 받은 사용자가 호기심에 첨부된 엑..

악성코드 분석 리포트 2019. 10. 17. 17:11

안녕하세요.이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 8월 9일) 오전부터 국내 기업들을 대상으로 스캔파일 내용으로 위장한 악성 이메일이 대량으로 유포중입니다. ESRC에서는 대량으로 유포중인 악성메일들에 대해 추적 및 분석중이며, TA505 조직이 또다시 대량 악성메일을 유포한 것으로 확신하고 있습니다. 금일 발견된 악성 메일은 특정중소기업을 사칭하며 '스캔파일'이라는 제목으로 유포되고 있습니다. [그림 1] 대량으로 국내기업에 유포중인 악성메일 메일 본문에는 현재까지 발견된 메일들에서는 아무런 내용을 찾을 수 없었지만 송신자의 상세한 정보가 담긴 전자메일 서명을 넣어 메일 수신자로 하여금 의심을 덜도록 유도합니다. 메일에는 MS word로 작성된 doc파일이 첨부되어 있으며, d..

악성코드 분석 리포트 2019. 8. 9. 10:06

New APT34 campaign uses LinkedIn to deliver fresh malware 보안 전문가들이 APT34 그룹(OilRig, HelixKitten, Greenbug)이 링크드인을 통해 유포 중인 새로운 스파이 캠페인을 발견했습니다. APT34 그룹의 멤버들은 케임브리지의 연구원으로 위장해 타깃 피해자들에게 그들의 소셜 네트워크에 가입하도록 요청했습니다. APT34는 이란 정부의 지원을 받는 것으로 알려진 APT 그룹으로 최소 2014년부터 활동해 왔습니다. 이 그룹은 주로 미국 및 중동 국가의 금융, 정부, 에너지, 통신 및 화학 분야의 기업들을 타깃으로 삼았습니다. 전문가들에 따르면, 해커들은 케임브리지의 강사로 위장하여 피해자들에게 무기화된 악성 문서를 보내기 위해 그들의 소..

국내외 보안동향 2019. 7. 24. 08:00

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 (2019년 06월 20일) 오전부터 국내 기업들에 송금증 내용으로 위장한 악성 이메일이 다량 유포되고 있습니다. 피싱 메일이 회계 관련 내용인 만큼 회계 관련 업무를 보시는 분들의 각별한 주의가 필요합니다. [그림 1] 송금증 내용을 위장한 악성 피싱 메일 ESRC에서는 긴급 대응 진행 중이며, TA505 그룹이 유포한 것으로 파악하고 있습니다. 금일 발견된 악성 피싱 메일은 중소기업을 사칭하며 "송금증 $(랜덤숫자)" 제목으로 유포되고 있습니다. 메일 내용은 간단하게 "파일 보내드립니다"라고 적혀있습니다. 금일 발견된 메일에는 XLS, DOC 등 MS Office 문서를 악용한 악성 파일이 첨부되어 있으며, "날짜 + 송금증 + 랜덤값..

악성코드 분석 리포트 2019. 6. 20. 10:35

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 (2019년 06월 03일), TA505 그룹이 악성 HTML 파일을 포함한 피싱 메일이 대량으로 유포하고 있어 사용자들의 주의가 필요합니다. 금일 발견된 악성 피싱 메일은 중소기업을 사칭한 거래 내역서, 견적서, 영수증 등의 다양한 내용을 담고 있으며, HTML 또는 HTM 파일을 첨부했습니다. [그림 1] TA505 그룹이 유포한 다양한 악성 피싱 메일 악성 피싱 메일에 첨부된 html 및 htm 파일은 "2019+MM+DD_랜덤숫자 6자리" 형태이며, 해당 HTML 파일을 확인해 보면 아래와 같은 경로에서 악성 Excel 파일을 다운로드하는 것을 알 수 있습니다. [그림 2] 악성 Excel 파일 다운로드 경로 사용자가 다운로드 된 ..

악성코드 분석 리포트 2019. 6. 3. 11:32

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 (2019년 05월 30일), 국세청을 사칭하고 '송장'이라는 메일 제목으로, 악성 파일을 포함한 메일이 유포되고 있어 세금계산서 담당자 및 기업의 회계 담당자분들의 주의가 필요합니다. 해당 악성 메일에는 국세청 홈택스에서 보낸 것처럼 "국세청 전자[세금]계산서" 발급 안내 이미지를 포함하고 있으며, 첨부파일 또한 "eTaxInvoice"라는 이름으로 사용자가 별다른 의심 없이 첨부파일을 다운로드할 가능성이 높습니다. ESRC에서는 해당 피싱 메일이 TA505 조직이 유포한 것으로 추정하고 있으며, TA505 조직이 유포하는 악성 메일 내용이 더욱 정교해지고 있습니다. [그림 1] 국세청 인보이스를 사칭한 악성 피싱 메일 이번에 발견된 악..

악성코드 분석 리포트 2019. 5. 30. 10:36