안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 4월 초부터 5월 중순까지 꾸준히 Nemty 랜섬웨어 시리즈를 유포중인 비너스락커 조직의 공격이 여전히 지속되고 있습니다. 4월 초에 '공정거래위원회'를 사칭하거나 혹은 '이력서'로 위장하여 Nemty 3.1 랜섬웨어를 유포했던 공격자는 5월 초부터는 '이미지 무단사용 경고' 키워드를 활용하거나 4월 초와 유사하게 '이력서'를 사칭한 Nemty Special Edition 랜섬웨어를 유포했습니다. 특히 공격자는 5월 초에는 Nemty 랜섬웨어를 유포하는 동시에 정보탈취 악성코드까지 유포를 시도했습니다. 5월 18일에도 또 다시 '이력서'를 사칭하여 지난 5월 중순과 동일하게 Nemty Special Edition을 유포중인 것이 확인되어 주의가 ..

악성코드 분석 리포트 2020. 5. 19. 13:07

안녕하세요. ESRC(시큐리티 대응센터)입니다. 비너스락커 조직이 지속적으로 공정거래위원회를 사칭하여 랜섬웨어를 유포중에 있어 사용자들의 주의가 필요합니다. [그림 1] 공정거래위원회 사칭 메일 비너스락커 조직은 이미 몇년 전 부터 공정거래위원회를 사칭하여 랜섬웨어를 유포하였으며, 유포하는 랜섬웨어 종류는 바뀌었지만 그 수법은 매우 유사합니다. 이에 ESRC에서는 공정거래위원회 사칭 악성메일에 대해 이미 여러차례 주의를 당부드렸었습니다. ※ 공정거래위원회 사칭 악성메일 관련 글 ▶ 공정거래위원회를 사칭한 악성 메일 주의! 비너스락커 조직의 소행으로 추정 (2020.01.03)▶ Nemty 랜섬웨어, 공문을 사칭한 악성 메일을 통해 지속적으로 유포중! (2019.11.13)▶ 비너스락커, 공정거래위원회 사..

악성코드 분석 리포트 2020. 4. 3. 09:25

안녕하세요. ESRC(시큐리티 대응센터)입니다. 비너스락커 조직, 여전히 이력서를 위장해 랜섬웨어 유포중인것으로 확인되었습니다. [그림 1] 이력서를 위장한 악성 메일 이번에 발견된 악성메일에 포함된 첨부파일도 기존에 유포되었던 악성파일들과 마찬가지로 압축파일 안에 또 다른 압축파일이 포함된 이중압축을 통해 보안sw의 탐지를 우회하려고 시도하고 있습니다. [그림 2] 압축파일 안에 또 다른 압축파일이 포함 이중압축 내부에는 pdf 파일을 위장한 exe 파일이 포함되어 있습니다. [그림 3] 이중압축 해제 후 보이는 파일 사용자가 만약 이중압축 해제 후, 압축파일에 포함되어 있던 실행파일을 실행하면 Nemty 랜섬웨어 3.1버전에 감염되게 됩니다. [그림 4] 랜섬노트 현재 알약에서는 해당 랜섬웨어에 대해..

악성코드 분석 리포트 2020. 4. 2. 15:48

Nemty ransomware “LOVE_YOU” malspam campaign Malwarebytes와 X-Force IRIS의 연구원들이 비밀 연애 편지로 위장한 메시지를 통해 Nemty 랜섬웨어를 배포하는 스팸 캠페인을 발견했습니다. 이 캠페인은 현재도 진행 중입니다. 공격자들은 이 메시지를 비밀 연애 편지로 위장하기 위해 메일 제목을 “Don’t tell anyone,” “I love you,” “Letter for you,” “Will be our secret,” “Can’t forget you”와 같이 작성했습니다. 모든 스팸 메일의 내용은 ‘;)’ 이모티콘만을 포함하고 있었습니다. 또한 (‘LOVE_YOU_######_2020.zip’)와 같은 형식의 ZIP 압축파일을 첨부하고 있었습니다. ..

국내외 보안동향 2020. 3. 3. 10:14

안녕하세요.이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019/10/29) 오전부터 경력직 입사지원서로 위장한 Nemty Revenge 2.0 랜섬웨어가 대량으로 유포중인 정황이 확인되었습니다. 유포중인 입사지원서 위장메일은 대부분 지원자 이름을 메일 제목으로 하고 있습니다. [그림 1] 입사지원자 이름으로 위장한 악성메일 1 [그림 2] 입사지원자 이름으로 위장한 악성메일 2 이 외에도 다양한 이름의 입사지원자 이름을 제목으로 사용한 메일이 유포되고 있습니다. 경력직 입사지원서로 위장한 악성메일 캠페인은 비너스락커(Venus)조직의 수행으로 추정되며, 최근에도 입사지원서를 위장하여 Nemty 랜섬웨어를 유포한 케이스가 존재합니다. 또한 바로 몇주전에는 '공정거래위원회'를 사칭하여 악성메일을 ..

악성코드 분석 리포트 2019. 10. 29. 15:09

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 갠드크랩 4.1 버전에서 사용된 이미지를 동일하게 사용한 랜섬웨어가 발견되었습니다. 이 이미지는 다음과 같이 러시아 대통령과 러시아 문구가 삽입되어 있습니다. Nemty 랜섬웨어는 주로 입사 지원서를 위장한 메일로 유포되며, 파일명에 긴 공백을 넣어 PDF 파일인 것처럼 위장해 사용자를 속이는 것이 특징입니다. [그림] 암호화 완료 화면 현재 알약에서는 해당 악성 코드를 ‘Trojan.Ransom.Nemty’ 탐지 명으로 진단하고 있으며, 관련 상세 분석보고서는 Threat Inside 웹서비스 구독을 통해 확인이 가능합니다.

악성코드 분석 리포트 2019. 10. 21. 15:40

Nemty 1.6 Ransomware Released and Pushed via RIG Exploit Kit RIG 익스플로잇 키트가 새로운 Nemty 랜섬웨어 변종을 포함하는 악성코드를 배포하고 있는 것으로 나타났습니다. 익스플로잇 키트 연구원인 mol69가 처음으로 발견한 이 멀버타이징 캠페인은 Internet Explorer(IE)와 Flash Player를 사용하는 기업 사용자들을 노리며 타깃을 RIG 익스플로잇 키트로 이동시키고 있었습니다. 사용자가 오래된 버전의 프로그램을 실행하면 익스플로잇 키트 랜딩 페이지로 이동됩니다. 그리고 악성 스크립트는 브라우저 취약점을 악용하여 Nemty 1.6 랜섬웨어를 포함한 다양한 악성코드를 설치하려 시도합니다. 가장 눈에 띄는 변화점은 아래와 같이 랜섬 노트..

국내외 보안동향 2019. 10. 14. 14:53

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019/10/10) "전자상거래 위반행위 조사통지서"로 위장하여 Nemty 랜섬웨어가 유포되고 있는 정황이 포착되었습니다. ESRC 조사 결과, 비너스락커(VenusLocker) 조직의 소행으로 추정되며, 정부 공문 포맷 이미지를 이용해 현재 대량으로 유포되고 있어 사용자들의 각별한 주의가 필요합니다. [그림 1] "전자상거래 위반행위 조사통지서"로 위장한 악성 메일 [그림 2] 메일에 첨부된 공정거래위원회 통지서 상세 내용 이번에 발견된 스팸 캠페인은 한메일 계정을 통해 발송되었고, 이전에 유포된 적 있는 공정거래위원회를 사칭했습니다. 메일의 첨부파일은 7z 형식으로 압축되어 있었으며, 압축파일 내부에는 PDF 문서로 위장한 악성 EX..

악성코드 분석 리포트 2019. 10. 10. 13:16