PDF smuggles Microsoft Word doc to drop Snake Keylogger malware 분석가들이 최근 악성코드 캠페인에서 사용자를 악성코드에 감염시키는 악성 Word 문서가 PDF 첨부 파일을 통해 밀수되는 것을 발견했습니다. 대부분의 악성 이메일은 악성코드 로딩 매크로 코드가 포함된 DOCX 또는 XLS 파일을 첨부하고 있기 때문에, PDF를 사용하는 것은 이례적입니다. 하지만 더 많은 사람들이 악성 Microsoft Office 첨부 파일을 여는 것에 대한 교육을 받게 된 후, 공격자는 탐지를 피해 악성 매크로를 배포하기 위해 다른 방법을 사용하기 시작했습니다. HP Wolf Security의 연구원들은 새로운 보고서를 통해 피해자의 컴퓨터에 인포 스틸러 악성코드를 다운로..

국내외 보안동향 2022. 5. 23. 09:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. ‘국세청 전자세금계산서 발급 메일 안내’로 위장한 악성 이메일이 국내 불특정 다수를 대상으로 국내에 급속히 유포되고 있어 이용자들의 주의가 필요합니다. [그림 1] 국세청 홈택스 전자세금계산서 발급 안내로 사칭한 이메일 화면 발견된 공격은 메일 수신자가 관심을 가질만한 내용의 이메일을 발송해, 첨부된 악성 파일을 열어보도록 유도하는 전형적인 ‘스피어 피싱’ 방식입니다. 다만 기존 이메일 스피어 피싱 공격에는 압축파일이나 마이크로소프트(MS)의 워드(WORD) 문서 형태의 악성 파일을 흔히 사용했으나, 이번 공격은 파워포인트 문서인 PPT 파일을 사용하였습니다. 또한 메일 수신자가 신뢰하고 첨부파일을 열어보도록, 발신지 주소까지 실제 홈택스 도..

악성코드 분석 리포트 2020. 11. 25. 14:46

New Ramsay malware can steal sensitive documents from air-gapped networks ESET의 연구원들이 이전에는 찾아볼 수 없었던 매우 드문 고급 기능을 갖추고 있는 악성 프레임워크를 발견했다고 발표했습니다. Ramsay라 명명된 이 악성 툴킷은 에어갭 컴퓨터를 감염시켜 워드 문서와 기타 민감 문서를 숨겨진 스토리지 컨테이너에 저장해 두었다가 유출이 가능한 기회를 기다리도록 설계되었습니다. 이 악성코드의 발견은 꽤 중요한 일입니다. 조직에서 취할 수 있는 가장 엄격하고 효율적인 보안 정책인 ‘에어갭’을 뛰어넘는 기능이 포함된 악성코드는 거의 찾아볼 수 없기 때문입니다. 에어갭(air-gap) 네트워크란? 에어갭 시스템은 회사 네트워크를 물리적, 논리적으로..

국내외 보안동향 2020. 5. 14. 10:38

안녕하세요. ESRC(시큐리티 대응센터)입니다. 마스크는 코로나19 바이러스의 가장 효과적인 예방책 중 한 가지로 알려져 있습니다. 최근 전 세계적으로 마스크에 대한 관심과 수요가 크게 증가한 상황에서 관련 문서 내용으로 위장한 악성 문서가 발견되었습니다. 이 악성 문서를 사용자가 열어볼 경우, 사용자 PC에 악성코드 설치 및 주요 정보가 탈취될 수 있기 때문에 각별한 주의가 필요합니다. ESRC에서는 지난 21일 특정 정부 후원을 받는 것으로 추정되는 대표적인 APT 공격 그룹 중 하나인 코니(Konni) 조직의 공격을 확인했습니다. 코니(Konni) 조직은 최근 몇 년간 꾸준히 국내를 타깃으로 APT 공격을 수행하는 조직으로 ESRC에서는 이미 몇 차례 Konni 조직의 APT 공격을 확인하고 경고한..

악성코드 분석 리포트 2020. 4. 22. 16:46

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019/09/30) "이름 지원서"로 위장하여 Nemty 랜섬웨어가 유포되고 있는 정황을 확인하였습니다. [그림 1] "이름 지원서"로 위장한 악성 메일 [그림 2] 지원서를 사칭한 악성 메일2 지원서를 위장한 악성 메일 캠페인은 비너스락커(VenusLocker) 조직의 수행으로 추정되며, 최근에도 채용 지원서를 위장하여 Nemty 랜섬웨어를 유포했습니다. 이번에 발견된 스팸 캠페인은 한메일 계정을 통해 발송되었고, 기존에 발견된 메일과 동일하게 입사지원서를 사칭했습니다. 메일의 첨부파일은 7z 형식으로 압축되어 있었으며, 압축파일 내부에는 MS Word 문서로 위장한 악성 EXE 랜섬웨어가 포함되어 있습니다. [그림 3] 스팸 메일에 ..

악성코드 분석 리포트 2019. 9. 30. 16:53

Experts uncovered an advanced phishing campaign delivering the Quasar RAT Cofense 연구원들이 가짜 이력서를 통해 Quasar RAT을 배포하는 수준 높은 피싱 캠페인을 발견했습니다. 이 캠페인의 주요 특징은 공격 벡터를 위장하기 위해 여러 안티-분석 방식을 사용한다는 것입니다. Quasar RAT은 여러 공개 저장소에서 얻을 수 있는 오픈 소스 툴이며, 공격자들은 탐지를 피하기 위해 패스워드 보호, 암호화된 매크로 등을 사용합니다. Quasar RAT은 APT33, APT10, Dropping Elephant, Stone Panda, The Gorgon Group을 포함한 많은 해킹 그룹이 과거에 사용했었습니다. 이 피싱 캠페인을 통해 배포..

국내외 보안동향 2019. 8. 29. 10:33

New LooCipher Ransomware Spreads Its Evil Through Spam LooCipher라 명명된 새로운 랜섬웨어가 사용자를 감염시키는 실제 공격에 활발히 악용되고 있다는 사실이 발견되었습니다. 해당 랜섬웨어가 어떻게 배포되는지는 확실히 밝혀지지 않았으나, 지금까지 발견된 파일로 미루어 볼 때 스팸 캠페인을 통해 유포되는 것으로 판단됩니다. LooCipher는 보안 연구원인 Petrovic이 최초로 발견했습니다. 악성 문서를 통해 배포되는 LooCipher 연구원들은 어떤 피싱 캠페인을 통해 랜섬웨어가 배포되는지는 밝히진 못했으나, 악성 워드 문서인 "Info_BSV_2019.docm"를 통해 유포된다는 사실을 발견했습니다. 사용자가 해당 악성 문서를 클릭하면, 아래와 같이 매..

국내외 보안동향 2019. 6. 25. 10:19

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 06월 03일), 리플라이 오퍼레이터 그룹이 금융회사를 사칭해 'Sodinokibi' 랜섬웨어를 유포한 정황이 포착되었습니다. [그림 1] 금융 회사를 사칭한 피싱 메일 화면 피싱 메일에는 UltraFax 서비스를 통해 금융회사에서 문서를 보냈다는 내용이 들어 있으며, 리플라이 오퍼레이터 그룹이 사용하는 "gmx.com" 도메인으로 발송되었습니다. 또한, 첨부된 RAR 파일에는 비밀번호를 설정해 백신 탐지를 우회하려고 시도하였습니다. [그림 2] 비밀번호가 설정된 RAR 파일 해당 메일을 받은 사용자가 첨부된 파일을 금융 문서로 착각해 압축을 해제하면, '급여 고지.doc.exe'라는 MS Word 문서(.doc)를 위장한 악성..

악성코드 분석 리포트 2019. 6. 3. 15:33