안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 네이버 전자세금계산서를 위장한 악성메일이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 악성 메일은 네이버에서 발급한 전자 세금 계산서를 위장하고 있습니다. 공격자는 발신자 이메일 주소 도메인을 navercorp.com으로 만들어 수신자로 하여금 진짜 naver로 온걸로 착각하도록 유도합니다. 또한 보안메일을 첨부파일 형식으로 발송한다는 내용으로 사용자들의 첨부파일 실행을 유도합니다. 압축파일 내에는 pdf 파일을 위장한 실행파일(.exe) 파일이 포함되어 있습니다. 만약, 사용자가 해당 파일을 pdf 파일로 착각하여 실행한다면 악성코드가 실행됩니다. 악성코드가 실행되면 사용자 PC 정보와 함께 웹 브라우저, 메일 클라이언트, FT..

악성코드 분석 리포트 2021. 7. 15. 09:35

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 국내 중소기업 임직원 메일 계정을 사칭한 피싱 메일이 유포되고 있어 관련자들의 각별한 주의가 필요합니다. 이번에 발견된 메일 중 지난 5월 7일에 발견된 메일은 경기 지역에 위치한 한 기계 제조업체의 임직원 이름과 이메일 계정을 사칭하였으며, 해당 업체명이 포함된 '00테크 견적서'라는 제목을 사용했습니다. 발신자로 사용된 직원 이름은 해당 기업명 구글 검색 결과 중 우선 순위가 높게 나타나는 LinkedIn 프로필을 통해 쉽게 확인할 수 있습니다. 또한 LinkedIn 프로필 상에 나타난 지역과 이메일에 포함된 연락처 지역 번호를 일치시킴으로써 신뢰도를 높였습니다. 메일에는 견적서를 전달 드린다는 내용과 함께 'Darim Tech Quote 21_0..

악성코드 분석 리포트 2021. 5. 10. 16:19

BlackRock Malware Goes After Banking, Social and Other Mobile Apps BlackRock이라고 불리는 새로운 안드로이드 뱅킹 트로이목마가 337개의 앱 목록에서 비금융 목적으로 사용했던 자격 증명과 신용카드 정보를 탈취하는 것이 발견되었습니다. 이 악성코드는 ThreatFabric 분석가들에 의해 5월에 발견되었으며, LokiBot의 알려진 변종인 Xerxes 뱅킹 악성코드의 유출된 소스 코드에서 유래되었습니다. 다른 뱅킹 트로이목마와 달리 소셜, 커뮤니케이션, 네트워킹, 데이트 플랫폼에 중점을 두고 비금융 안드로이드 앱을 타깃으로 한다는 특이점을 가지고 있습니다. BlackRock은 구글 업데이트로 위장해 접근 서비스(Accessibility Servic..

국내외 보안동향 2020. 7. 17. 15:00

RATicate drops info stealing malware and RATs on industrial targets Sophos의 보안 연구원들이 기업들을 노리며 NSIS 인스톨러를 악용하여 원격 접속 툴(RAT) 및 인포스틸러 악성코드를 배포하는 한 해킹 그룹을 발견했습니다. 연구원들은 RATicate 공격자들이 2019년 11월 ~ 2020년 1월 사이에 공격을 5차례 실행해 유럽, 중동, 대한민국의 산업 기업을 노렸다고 밝혔습니다. 또한 과거 발생한 다른 유사 캠페인과 관련이 있을 것으로 의심했습니다. - 루마니아 전기 장비 제조 기업- 쿠웨이트 건설 서비스 및 엔지니어링 기업- 한국 인터넷 기업- 한국 투자 관련 기업- 영국 건축 자재 제조 기업- 한국 의학 뉴스 언론사- 한국 통신 및 전기..

국내외 보안동향 2020. 5. 18. 08:45

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019/09/03) 특정 기관을 사칭한 견적서 요청 스피어 피싱 메일이 유포된 정황이 확인되었습니다. 공격자는 구매팀을 사칭해 견적을 위한 도면을 확인해 달라며, 견적에 필요한 파일인 것처럼 메일에 악성 대용량 파일을 첨부했습니다. [그림 1] 견적 요청을 사칭한 악성 메일 화면 실제 공격에 사용된 이메일에는 국내 특정 기업 이미지와 직원의 서명을 추가해 담당자를 현혹하고 있습니다. 비슷한 내용과 동일한 악성 대용량 파일을 첨부한 메일이지만 엉뚱한 회사의 직원 서명을 사용한 악성 메일도 발견되었습니다. [그림 2] 견적 요청을 사칭한 악성 메일 화면2 발견된 악성 메일 모두 동일한 이미지 파일(.img) 및 ACE 파일(.ace)을 대용..

악성코드 분석 리포트 2019. 9. 3. 16:23

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 6월 18일) 후지코리아를 사칭한 견적 피싱메일이 유포된 정황이 확인돼, 사용자들의 각별한 주의가 필요합니다. 악성 피싱메일 유포자는 마치 후지 코리아 직원인 것처럼 사칭하여 견적 의뢰 관련 메일을 유포하였습니다. [그림 1] 후지코리아 견적 의뢰서를 사칭한 피싱메일 공격자는 피싱 메일에 대용량 파일을 첨부하였으며, 사용자가 해당 파일을 견적 의뢰서로 착각해 파일을 클릭할 경우, 악성 파일이 다운됩니다. 악성 파일은 %temp%경로 아래에 \msngdvfadxa\ 이름으로 폴더를 생성한 후 msngdvfadxa.vbs 파일과 자가 복제된 msngdvfadxa.exe 파일을 드롭합니다. [그림 2] msngdvfadxa.vbs 코..

악성코드 분석 리포트 2019. 6. 18. 16:59

Most LokiBot samples in the wild are "hijacked" versions of the original malware 한 보안 연구원이 실제로 배포 되고 있는 LokiBot 악성코드의 샘플들 대부분이 오리지널 샘플의 수정 된 버전이라고 밝혔습니다. 2015년부터 사용자들을 공격해온 LokiBot은 다양한 웹 브라우저, FTP, 포커 및 이메일 클라이언트, PuTTY와 같은 IT 관리 툴의 크리덴셜을 훔치는 패스워드 및 가상 코인 지갑 스틸러입니다. 오리지널 LokiBot 악성코드는 온라인 예명 "lokistov"(Carter로도 알려짐)를 사용하는 개발자가 개발했으며, 언더그라운드 해킹 포럼 다수에서 최대 $300에 판매했습니다. 하지만 다크웹의 다른 해커가 더 저렴한 가격($..

국내외 보안동향 2018. 7. 9. 17:24

New MysteryBot Android Malware Packs a Banking Trojan, Keylogger, and Ransomware 사이버 범죄자들이 현재 안드로이드 기기를 노리는 새로운 악성코드 변종을 개발 중인 것으로 나타났습니다. 이 악성코드는 뱅킹 트로이목마, 키로거, 모바일 랜섬웨어를 포함합니다. MysteryBot이라 명명 된 이 악성코드는 아직 개발 중인 것으로 보입니다. MysteryBot, LokiBot과 관련 있어 연구원들은 MysteryBot이 잘 알려진 LokiBot 안드로이드 뱅킹 트로이목마와 관련 있는 것으로 보인다고 밝혔습니다. 연구원들은 “트로이목마 코드 두 개를 분석한 결과, 우리는 LokiBot과 MysteryBot의 제작자들이 관련이 있을 것으로 추측했습니다..

국내외 보안동향 2018. 6. 18. 10:09