안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 28일), '형사 사건번호'라는 제목으로 헌법 재판소를 사칭한 피싱 메일이 유포되고 있어, 사용자들의 주의가 필요합니다. 이번에 포착된 피싱 메일에는 'VegaLocker' 변종을 감염자 PC에 다운로드하고 실행시키는 것으로 조사되었으며, "리플라이 오퍼레이터(Reply Operator)" 그룹이 유포한 것으로 확인되었습니다. [그림 1] 헌법 재판소를 사칭한 피싱 메일 화면 피싱 메일에는 'Documents.zip'라는 압축 파일(.zip)이 첨부되어 있습니다. 특이한 점은 이전에 발견된 메일과 달리 보관 '파일의 비밀번호'라는 내용이 추가된 점입니다. 해당 메일을 받은 사용자가 사건과 관련된 서류로 착각해 압축을 해제..

악성코드 분석 리포트 2019. 5. 28. 10:16

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 최근 2019.03.30~2019.04.01에 걸쳐 대한민국 국세청 및 경찰청을 사칭한 악성 이메일을 포착하였습니다. [그림 1] 국세청 및 경찰청을 사칭한 악성 이메일 화면 최근 이 갠드크랩 유포 조직은 '대한민국 국세청', '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등을 통해 랜섬웨어를 한국에 집중 유포하고 있습니다. 이들 조직은 기존 '[비너스락커] 랜섬웨어 유포 조직'과는 확연히 구분되고 있으며 어눌한 한국어를 사용하는 것이 특징인 조직이었습니다. 해당 조직의 eml 파일 내부 분석 결과, 'reply-to' 부분이 공통적으로 존재한다는 고유 특징을 발견했습니다. [그림 2] eml 파일 내부의..

악성코드 분석 리포트 2019. 4. 2. 17:01

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 금일(2019년 03월 28일) 오전, ESRC에서는 대한민국 국세청을 사칭한 악성 이메일을 포착하였습니다. 국세청을 사칭한 만큼, 기업 회계 담당자들의 각별한 주의가 필요합니다. 금일 악성 메일을 유포한 이 조직은 기존 '[비너스락커] 랜섬웨어 유포 조직'과 유사한 방식으로 악성메일을 유포하였습니다. ESRC에서는 이전에 한국어를 어눌하게 사용하여 지마켓, 한국은행, 헌법 재판소를 위장해 갠드크랩을 유포하던 조직이 이젠 기존에 갠드크랩을 유포하던 비너스락커 조직을 모방하여 갠드크랩을 유포하고 있다고 추정하고 있습니다. 공격자는 대한민국 국세청을 영문으로 직역한 National Tax Service of South Korea 이름의 발신자 명..

악성코드 분석 리포트 2019. 3. 28. 11:16