안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. ‘국세청 전자세금계산서 발급 메일 안내’로 위장한 악성 이메일이 국내 불특정 다수를 대상으로 국내에 급속히 유포되고 있어 이용자들의 주의가 필요합니다. [그림 1] 국세청 홈택스 전자세금계산서 발급 안내로 사칭한 이메일 화면 발견된 공격은 메일 수신자가 관심을 가질만한 내용의 이메일을 발송해, 첨부된 악성 파일을 열어보도록 유도하는 전형적인 ‘스피어 피싱’ 방식입니다. 다만 기존 이메일 스피어 피싱 공격에는 압축파일이나 마이크로소프트(MS)의 워드(WORD) 문서 형태의 악성 파일을 흔히 사용했으나, 이번 공격은 파워포인트 문서인 PPT 파일을 사용하였습니다. 또한 메일 수신자가 신뢰하고 첨부파일을 열어보도록, 발신지 주소까지 실제 홈택스 도..

악성코드 분석 리포트 2020. 11. 25. 14:46

How Just Opening A Malicious PowerPoint File Could Compromise Your PC Windows Object Linking and Embedding(OLE) 인터페이스에 존재했던 마이크로소프트의 오피스 원격 코드 실행 취약점 (CVE-2017-0199)은 지난 4월 수정이 되었음에도 불구하고, 아직까지 공격자들은 해당 취약점을 악용하고 있는 것으로 나타났습니다. 보안연구원들은 이 익스플로잇을 악용하는 새로운 악성코드 캠페인을 발견하였는데, 공격자들은 해당 취약점을 악용하는 코드를 파워포인트 파일(PPSX)에 숨겨 유포한 것으로 확인되었습니다. 이 악성코드 캠페인을 발견한 보안 연구원들에 따르면, 이 타겟 공격은 스피어피싱 이메일 첨부파일을 통해 진행되며, 이 피..

국내외 보안동향 2017. 8. 16. 17:29

2017년 7월, MS의 정기 보안업데이트 리스트 중에는 Microsoft Office 취약점인 CVE-2017-8570도 포함되어 있었습니다. 해당 취약점은 MS Office 원격코드실행 취약점으로, Microsoft PowerPoint가 실행될 때 "Script" Moniker 개체에 대해 초기화를 하는 과정에서 발생합니다. 또한 PowerPoint 가 실행되는 과정중에 해당 개체를 활성화 시킬 수 있으며, 이를 통하여 sct 스크립트(Windows Script Component)를 실행할 수 있게 되는 것입니다. 공격자는 사용자에게 해당 취약점이 존재하는 PPT를 파일을 전송함으로서, 현재 사용자 권한과 동일한 코드실행 권한을 획득할 수 있습니다. 또한 최근 해당 취약점 exploit이 인터넷에 공..

국내외 보안동향 2017. 8. 7. 16:32

범죄자들, 파워포인트 프레젠테이션을 통해 악성코드를 배포하는 새로운 기술 사용해Crooks leverages a new technique to deliver Malware via PowerPoint presentations 최근 공격자들이 파워포인트를 통한 악성코드 배포 기술을 사용하고 있는 것으로 밝혀졌습니다. 해당 공격은 현재 성행 중인 것으로 확인되어, 사용자들의 주의가 필요합니다. 연구원들은 최근 PowerShell 코드를 실행하기 위해 마우스오버 이벤트를 악용한 여러 개의 파워포인트 파일들을 발견했습니다. 공격자들은 “Purchase Order #130527”, “Confirmation”이라는 제목으로 “order.ppsx” 또는 “invoice.ppsx”라는 이름으로 스팸 메시지에 포함되어 있..

국내외 보안동향 2017. 6. 7. 16:10