안녕하세요.? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2019년 7월 24일, 견적 문의로 위장하고 악성 파일을 첨부한 피싱메일이 발견되었습니다. 피싱 메일에 첨부된 대용량 파일은 "문의해요.egg"라는 이름으로 유포되었으며, 메일 본문에 "확인좀 바랍나다"라는 문구로 급하게 일처리가 필요한 것처럼 꾸몄습니다. [그림 1] 견적 문의 메일로 위장한 피싱 메일 견적 문의로 오해한 사용자가 첨부된 EGG 파일을 다운로드하면 해당 파일 안에는 아래와 같은 악성 EXE 파일이 들어 있습니다. 또한 "정선애"라는 발신자명을 사용한 것이 특징입니다. [그림 2] "문의해요.egg" 압축 파일 안의 악성 실행 파일 압축 파일을 해제해 보면, 실제 악성 파일 확장자는 EXE 실행 파일이지만 파일 아이콘을..

악성코드 분석 리포트 2019. 7. 26. 10:48

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2019년 4월 19일, ESRC에서는 비너스락커(Venus Locker) 그룹으로 추정되는 입사지원서를 위장한 갠드크랩 v5.2 유포 정황을 포착하였습니다. [그림 1] 입사지원서를 위장한 악성 메일 이미지 최근 채용 시즌을 맞아 지속적으로 입사지원서 사칭 메일이 다양한 지원자 이름으로 유포되고 있습니다. 이번 악성 메일도 최근 2주간 발견된 입사지원서 사칭 메일과 동일하게 .egg 확장자의 알집 파일이 첨부되어 있었습니다. 메일 제목은 ‘성유리입니다.’라는 지원자가 보낸 메일처럼 작성하였고, 메일 내용 또한 간단하게 ‘안녕하세요! 공고 보고 연락 드려요’라고 작성되어 있습니다. 첨부된 압축 파일을 해제하면 DOC, JPG 확장자로 위장한 악..

악성코드 분석 리포트 2019. 4. 22. 11:02

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 2019년 4월 10일, ESRC에서는 리플라이 오퍼레이터(Reply Operator) 조직이 이미지 저작권 위반과 관련한 악성 메일을 유포한 정황을 확인하였습니다. 금일 오전 포착된 비너스락커(Venus Locker) 조직의 악성 메일과 동일하게 EGG 확장자의 알집 파일을 첨부하여 사용자들의 클릭을 유도했습니다. 리플라이 오퍼레이터 조직 또한 비너스락커 조직을 따라 하면서 계속 활동을 이어가고 있어, 사용자들의 각별한 주의가 필요합니다. [그림 1] 사진 편집자 및 디자이너를 사칭한 악성 이메일 화면 리플라이 오퍼레이터 조직은 '대한민국 국세청', '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장', '이미..

악성코드 분석 리포트 2019. 4. 19. 16:37

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 4월 19일) ESRC에서는 비너스락커(Venus Locker) 그룹이 또다시 입사지원서를 위장한 갠드크랩 v5.2을 유포한 정황을 포착하였습니다. [그림 1] 입사지원서를 위장한 악성 메일 이미지 금일 발견된 입사지원서 사칭 메일 역시 지난 8일 발견된 입사지원서 사칭 메일과 동일하게 .egg 확장자의 알집 파일이 첨부되어 있었습니다. 또한, 발신자 주소로 한국에서 많이 사용하는 네이버를 사용했다는 점도 주목해 볼 만합니다. 최근 비너스락커(Venus Locker) 그룹은 알집 EGG 압축 포맷을 사용하여 변종들을 다량 유포하고 있는 중입니다. 첨부된 압축 파일을 해제하면 악성 파일을 PDF, JPG 1차 확장자로 위장하고 있..

악성코드 분석 리포트 2019. 4. 19. 13:30

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 비너스락커 그룹이 '이미지 저작권 위반'의 내용이 담긴 악성 메일로 GandCrab v5.2 랜섬웨어를 유포하고 있어, 이용자들의 주의를 당부드립니다. 이번에 발견된 메일에는 개인 작가의 이미지를 무단으로 사용해 저작권을 위반했다는 내용이 담겨 있으며, 이미지 확인을 위해 첨부 파일(.egg) 실행을 유도합니다. [그림 1] '이미지 저작권 위반 안내'가 담긴 악성 메일 첨부 파일 '원본이미지.egg'에는 실제 이미지와 문서로 위장한 파일이 아래와 같이 들어있습니다. (메일 첨부파일마다 조금씩 상이할 수 있습니다.)- 원본이미지.jpg(긴공백).exe [그림 2] 첨부파일 '원본이미지.egg' 이용자가 이미지를 보기 위해 jpg 파일로 위..

악성코드 분석 리포트 2019. 4. 11. 14:49

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 4월 8일) 입사지원서를 위장한 갠드크랩 v5.2을 새롭게 유포한 정황이 포착되어 사용자들의 주의가 필요합니다. 해당 악성 메일은 기존에 갠드크랩을 유포하던 비너스락커(Venus Locker) 그룹인 것으로 밝혀졌습니다. [그림 1] 입사지원서를 위장한 악성 메일 이미지 금일 발견된 입사지원서 사칭 메일은 .egg 확장자의 알집 파일이 첨부되어 있는 것이 특징입니다. 첨부된 파일을 압축 해제하면 압축파일 내에는 그림과 같이 긴 공백을 포함하며, pdf 파일을 위장한 exe 실행파일과 증명서라는 jpg 그림파일이 들어있습니다. (메일 첨부파일마다 조금씩 상이할 수 있습니다.) [그림 2] 악성 파일 내용 공격자는 파일명에 긴 공백..

악성코드 분석 리포트 2019. 4. 8. 13:37