Hackers are scanning for MySQL servers to deploy GandCrab ransomware 중국 해킹 그룹이 사용자 기기를 갠드크랩(GandCrab) 랜섬웨어에 감염시키기 위해 인터넷에서 MySQL 데이터베이스를 실행 중인 윈도우 서버를 스캐닝 중인 것으로 나타났습니다. Sophos의 수석 연구원인 Andrew Brandt는 허니팟 로그에서 이러한 새로운 공격을 발했습니다. 해커들, 얻을 것이 많은 노출된 MySQL DB 노려 해커들은 인터넷에서 접근 가능한 SQL 명령을 허용하는 MySQL 데이터베이스를 스캔한 후, 서버가 윈도우 환경에서 실행되는지 확인합니다. 그런 다음, 악성 SQL 명령을 사용하여 노출된 서버에 갠드크랩 랜섬웨어를 실행시키는 악성 파일을 심습니다. ..

국내외 보안동향 2019. 5. 28. 13:40

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 28일), '형사 사건번호'라는 제목으로 헌법 재판소를 사칭한 피싱 메일이 유포되고 있어, 사용자들의 주의가 필요합니다. 이번에 포착된 피싱 메일에는 'VegaLocker' 변종을 감염자 PC에 다운로드하고 실행시키는 것으로 조사되었으며, "리플라이 오퍼레이터(Reply Operator)" 그룹이 유포한 것으로 확인되었습니다. [그림 1] 헌법 재판소를 사칭한 피싱 메일 화면 피싱 메일에는 'Documents.zip'라는 압축 파일(.zip)이 첨부되어 있습니다. 특이한 점은 이전에 발견된 메일과 달리 보관 '파일의 비밀번호'라는 내용이 추가된 점입니다. 해당 메일을 받은 사용자가 사건과 관련된 서류로 착각해 압축을 해제..

악성코드 분석 리포트 2019. 5. 28. 10:16

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2019년 4월 19일, ESRC에서는 비너스락커(Venus Locker) 그룹으로 추정되는 입사지원서를 위장한 갠드크랩 v5.2 유포 정황을 포착하였습니다. [그림 1] 입사지원서를 위장한 악성 메일 이미지 최근 채용 시즌을 맞아 지속적으로 입사지원서 사칭 메일이 다양한 지원자 이름으로 유포되고 있습니다. 이번 악성 메일도 최근 2주간 발견된 입사지원서 사칭 메일과 동일하게 .egg 확장자의 알집 파일이 첨부되어 있었습니다. 메일 제목은 ‘성유리입니다.’라는 지원자가 보낸 메일처럼 작성하였고, 메일 내용 또한 간단하게 ‘안녕하세요! 공고 보고 연락 드려요’라고 작성되어 있습니다. 첨부된 압축 파일을 해제하면 DOC, JPG 확장자로 위장한 악..

악성코드 분석 리포트 2019. 4. 22. 11:02

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 2019년 4월 10일, ESRC에서는 리플라이 오퍼레이터(Reply Operator) 조직이 이미지 저작권 위반과 관련한 악성 메일을 유포한 정황을 확인하였습니다. 금일 오전 포착된 비너스락커(Venus Locker) 조직의 악성 메일과 동일하게 EGG 확장자의 알집 파일을 첨부하여 사용자들의 클릭을 유도했습니다. 리플라이 오퍼레이터 조직 또한 비너스락커 조직을 따라 하면서 계속 활동을 이어가고 있어, 사용자들의 각별한 주의가 필요합니다. [그림 1] 사진 편집자 및 디자이너를 사칭한 악성 이메일 화면 리플라이 오퍼레이터 조직은 '대한민국 국세청', '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장', '이미..

악성코드 분석 리포트 2019. 4. 19. 16:37

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 4월 19일) ESRC에서는 비너스락커(Venus Locker) 그룹이 또다시 입사지원서를 위장한 갠드크랩 v5.2을 유포한 정황을 포착하였습니다. [그림 1] 입사지원서를 위장한 악성 메일 이미지 금일 발견된 입사지원서 사칭 메일 역시 지난 8일 발견된 입사지원서 사칭 메일과 동일하게 .egg 확장자의 알집 파일이 첨부되어 있었습니다. 또한, 발신자 주소로 한국에서 많이 사용하는 네이버를 사용했다는 점도 주목해 볼 만합니다. 최근 비너스락커(Venus Locker) 그룹은 알집 EGG 압축 포맷을 사용하여 변종들을 다량 유포하고 있는 중입니다. 첨부된 압축 파일을 해제하면 악성 파일을 PDF, JPG 1차 확장자로 위장하고 있..

악성코드 분석 리포트 2019. 4. 19. 13:30

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 4월 8일) 입사지원서를 위장한 갠드크랩 v5.2을 새롭게 유포한 정황이 포착되어 사용자들의 주의가 필요합니다. 해당 악성 메일은 기존에 갠드크랩을 유포하던 비너스락커(Venus Locker) 그룹인 것으로 밝혀졌습니다. [그림 1] 입사지원서를 위장한 악성 메일 이미지 금일 발견된 입사지원서 사칭 메일은 .egg 확장자의 알집 파일이 첨부되어 있는 것이 특징입니다. 첨부된 파일을 압축 해제하면 압축파일 내에는 그림과 같이 긴 공백을 포함하며, pdf 파일을 위장한 exe 실행파일과 증명서라는 jpg 그림파일이 들어있습니다. (메일 첨부파일마다 조금씩 상이할 수 있습니다.) [그림 2] 악성 파일 내용 공격자는 파일명에 긴 공백..

악성코드 분석 리포트 2019. 4. 8. 13:37

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 최근 2019.03.30~2019.04.01에 걸쳐 대한민국 국세청 및 경찰청을 사칭한 악성 이메일을 포착하였습니다. [그림 1] 국세청 및 경찰청을 사칭한 악성 이메일 화면 최근 이 갠드크랩 유포 조직은 '대한민국 국세청', '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등을 통해 랜섬웨어를 한국에 집중 유포하고 있습니다. 이들 조직은 기존 '[비너스락커] 랜섬웨어 유포 조직'과는 확연히 구분되고 있으며 어눌한 한국어를 사용하는 것이 특징인 조직이었습니다. 해당 조직의 eml 파일 내부 분석 결과, 'reply-to' 부분이 공통적으로 존재한다는 고유 특징을 발견했습니다. [그림 2] eml 파일 내부의..

악성코드 분석 리포트 2019. 4. 2. 17:01

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 금일(2019년 03월 28일) 오전, ESRC에서는 대한민국 국세청을 사칭한 악성 이메일을 포착하였습니다. 국세청을 사칭한 만큼, 기업 회계 담당자들의 각별한 주의가 필요합니다. 금일 악성 메일을 유포한 이 조직은 기존 '[비너스락커] 랜섬웨어 유포 조직'과 유사한 방식으로 악성메일을 유포하였습니다. ESRC에서는 이전에 한국어를 어눌하게 사용하여 지마켓, 한국은행, 헌법 재판소를 위장해 갠드크랩을 유포하던 조직이 이젠 기존에 갠드크랩을 유포하던 비너스락커 조직을 모방하여 갠드크랩을 유포하고 있다고 추정하고 있습니다. 공격자는 대한민국 국세청을 영문으로 직역한 National Tax Service of South Korea 이름의 발신자 명..

악성코드 분석 리포트 2019. 3. 28. 11:16