안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 22일), '헌법 재판소 전화', '헌법 재판소 청문 의제' 등의 제목으로 헌법 재판소를 사칭한 피싱 메일이 유포되고 있습니다. 이번에 포착된 피싱 메일은 신종 랜섬웨어 'Sodinokibi'를 감염자 PC에 다운로드하고 실행시키며, 리플라이 오퍼레이터 그룹이 유포한 것으로 확인되었습니다. [그림 1] 헌법 재판소를 사칭한 피싱 메일 화면 피싱 메일에는 '법원 서류.zip'라는 압축 파일(.zip)이 첨부되어 있습니다. 해당 메일을 받은 사용자가 법원 서류인 것으로 착각해 압축을 해제하면, '연락처 세부 정보.doc', '사건에 관한 서류.doc'라는 MS Word 문서(.doc)를 위장한 악성 링크 파일(.lnk)이 들..

악성코드 분석 리포트 2019. 5. 22. 15:57

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 16일) 영업프로젝트, 첨부자료 양식, 사진 파일 등을 위장한 악성 파일이 포함된 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다. 이 피싱 메일은 지난 5월 8일에도 대량으로 유포되었습니다. ESRC에서는 해당 공격이 TA505 공격 그룹에 의한 소행이라고 판단하고 있습니다. ※ 관련글 보러가기 ▶ 유출된 소스코드 기반으로 제작된 악성코드 유포 주의 (2019.02.14)▶ Trojan.Ransom.Clop 악성코드 분석 보고서 (2019.03.22)▶ 클롭(Clop) 랜섬웨어 유포 조직이 진행하는 기업 타깃 대량공격 주의! (2019.04.24)▶ TA505 조직, 요청자료 엑셀문서처럼 위장해 한국에 악성 이메..

악성코드 분석 리포트 2019. 5. 16. 13:28

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 2019년 5월 7일, ESRC에서는 리플라이 오퍼레이터(Reply Operator) 조직이 FAX 문서와 관련된 악성 메일을 유포한 정황을 확인하였습니다. 어제 오전 포착된 이 메일은 WiseFAX 문서.rar 이라는 RAR 파일을 첨부하였으며, FAX를 확인하라는 메시지와 함께 사용자들의 클릭을 유도했습니다. [그림 1] FAX 문서를 사칭한 악성 이메일 화면 리플라이 오퍼레이터 조직은 '대한민국 국세청', '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장', '이미지 사용 중지 요청' 등을 통해 랜섬웨어를 한국에 집중 유포하고 있습니다. 이번에 발견된 메일에도 다음과 같은 ‘reply-to’ 부분이 존재했..

악성코드 분석 리포트 2019. 5. 8. 08:48

Office Test를 이용하는 새로운 악성코드 발견Office Test Persistence Method Used In Recent Sofacy Attacks 최근 'Office Test'라고 불리는 새로운 악성코드 은닉 매커니즘이 발견되었습니다. 이 방법은 Microsoft Office 프로그램이 실행될 때만 악성코드가 실행되는 방식으로, 샌드박스 탐지를 우회할 수 있어 주의가 필요합니다. 이 방법은 최근 Sofacy 조직이 개발한 악성코드에서 발견되었습니다. 악성코드는 다음과 같은 레지스트리를 생성합니다. (※ Sofacy 조직 : 러시아 해커부대) HKEY_CURRENT_USER\Software\Microsoft\Office test\Special\Perf 분석 결과, 해당 악성 dll파일 경로는..

국내외 보안동향 2016. 7. 28. 09:56