안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 06월 03일), 리플라이 오퍼레이터 그룹이 금융회사를 사칭해 'Sodinokibi' 랜섬웨어를 유포한 정황이 포착되었습니다. [그림 1] 금융 회사를 사칭한 피싱 메일 화면 피싱 메일에는 UltraFax 서비스를 통해 금융회사에서 문서를 보냈다는 내용이 들어 있으며, 리플라이 오퍼레이터 그룹이 사용하는 "gmx.com" 도메인으로 발송되었습니다. 또한, 첨부된 RAR 파일에는 비밀번호를 설정해 백신 탐지를 우회하려고 시도하였습니다. [그림 2] 비밀번호가 설정된 RAR 파일 해당 메일을 받은 사용자가 첨부된 파일을 금융 문서로 착각해 압축을 해제하면, '급여 고지.doc.exe'라는 MS Word 문서(.doc)를 위장한 악성..

악성코드 분석 리포트 2019. 6. 3. 15:33

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 31일), 사용자의 이메일 주소가 스팸하우스 블랙리스트에 올라갔다는 내용의 피싱 메일이 유포되고 있습니다. 스팸하우스는 스팸과 피싱, 맬웨어, 봇넷 등 관련 사이버 위협을 추적하고, 실시간으로 위협 및 평판 차단 목록을 제공하는 국제 비영리 단체입니다. 또한 ESRC에서는 이번에 포착된 피싱 메일은 신종 랜섬웨어 'Sodinokibi'를 감염자 PC에 다운로드하고 실행시키며, 리플라이 오퍼레이터 그룹이 유포한 것으로 확인되었습니다. [그림 1] 스팸하우스 블랙리스트 피싱 메일 화면 금일 발견된 피싱 메일은 다양한 문구의 메일 제목으로 유포되었으며, 사용자의 메일이 스팸처리되었다는 내용을 담고 있습니다. [그림 2] 다양한..

악성코드 분석 리포트 2019. 5. 31. 14:08

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 (2019년 05월 29일), '정리 해고 및 감면 목록'이라는 자극적인 메일 제목으로, 악성 파일을 포함한 피싱 메일이 유포되고 있어, 사용자들의 각별한 주의가 필요합니다. [그림 1] 해고 안내를 위장한 악성 피싱 메일 ESRC에서는 리플라이 오퍼레이터 조직이 해당 피싱 메일을 유포한 것으로 추정하고 있으며, 리플라이 오퍼레이터 조직은 지난 5월 28일에도 비슷한 유형의 악성 파일을 유포했습니다. [그림 2] 리플라이 오퍼레이터 조직이 유포한 피싱 메일 비교 이번에 발견된 피싱 메일에는 기존에 유포했던 피싱 메일에 사용한 동일한 도메인이 사용되었으며, 피싱 메일에 첨부된 압축 파일 해제 용도의 비밀번호를 본문에 첨부한 점이 동일합니다...

악성코드 분석 리포트 2019. 5. 29. 11:17

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 22일), '헌법 재판소 전화', '헌법 재판소 청문 의제' 등의 제목으로 헌법 재판소를 사칭한 피싱 메일이 유포되고 있습니다. 이번에 포착된 피싱 메일은 신종 랜섬웨어 'Sodinokibi'를 감염자 PC에 다운로드하고 실행시키며, 리플라이 오퍼레이터 그룹이 유포한 것으로 확인되었습니다. [그림 1] 헌법 재판소를 사칭한 피싱 메일 화면 피싱 메일에는 '법원 서류.zip'라는 압축 파일(.zip)이 첨부되어 있습니다. 해당 메일을 받은 사용자가 법원 서류인 것으로 착각해 압축을 해제하면, '연락처 세부 정보.doc', '사건에 관한 서류.doc'라는 MS Word 문서(.doc)를 위장한 악성 링크 파일(.lnk)이 들..

악성코드 분석 리포트 2019. 5. 22. 15:57

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 15일) 오전 '입사지원 합니다'라는 입사 지원서를 사칭한 피싱 메일이 유포되고 있어 채용 담당자분들의 주의가 필요합니다. 이번에 포착된 피싱 메일은 어제 발견된 견적 요청 메일에서 제목과 내용만 약간 수정되었을 뿐, 전반적으로 비슷한 형태를 띠고 있습니다. [그림 1] 입사지원서를 사칭한 피싱 메일 화면 해당 메일에는 '(OOO)이력서.alz'라는 '(지원자명)이력서' 형태의 제목을 가진 압축 파일(alz)이 첨부되어 있습니다.(지원자명의 경우 피싱메일에 따라 상이할 수 있습니다.) 채용 담당자가 해당 메일을 입사 지원서 관련 파일로 착각하여 압축 해제하면, 다음과 같이 PDF 문서(.pdf)를 위장한 악성 실행 파일이..

악성코드 분석 리포트 2019. 5. 15. 14:36

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 14일) 오전 '견적 요청 드려요'라는 피싱 메일이 급격하게 다량으로 유포되고 있어 사용자들의 주의가 필요합니다. [그림 1] 견적 요청을 위장한 피싱 메일 화면 해당 메일에는 '견적요청.alz'라는 알집 파일(alz)이 첨부되어 있습니다. 해당 악성 파일을 견적요청 파일로 착각하여 압축 해제하면, 다음과 같이 MS Word 문서(.doc)를 위장한 악성 실행 파일이 들어 있습니다. [그림 2] MS Word 문서 파일을 위장한 악성 파일1 악성 실행 파일은 '견적요청.doc(빈공백).exe'이라는 이중 확장자 형태이며, 자세히 확인하지 않으면 해당 파일을 Word 문서 파일로 착각할 가능성이 높습니다. 또한, 큰 아이콘..

악성코드 분석 리포트 2019. 5. 14. 10:32

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 어제(4/29) 알약 행위기반 차단기능으로 수집된 신종 랜섬웨어 'Sodinokibi'가 발견되었습니다. Sodinokibi 랜섬웨어는 국내 URL을 통해 랜섬웨어를 감염시키며, 불특정 다수에게 대량으로 유포 중인 상태로 사용자들의 각별한 주의가 필요합니다. 이번에 발견된 신규 랜섬웨어는 Powershell 이용한 샘플도 발견되었습니다. 해당 악성코드는 사용자 PC의 파일을 .(영문숫자랜덤) 확장자로 파일을 암호화합니다. [그림 1] .(영문숫자랜덤) 확장자로 암호화된 파일 해당 랜섬웨어에 감염되면 아래와 같은 랜섬 노트를 사용자 PC에 생성하며 “Hello, dear friend” 또는 “Welcome. Again”으로 시작하는 문구와 함께 ..

악성코드 분석 리포트 2019. 4. 30. 14:53