안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019.08.05) 중소기업을 타깃으로 입사지원서를 사칭한 악성 메일이 유포된 정황이 포착되어 이용자들의 주의를 당부드립니다. ESRC 분석 결과, 비너스락커(VenusLocker) 조직이 다시 RaaS 기반의 소디노키비 랜섬웨어를 활용해 악성 메일을 유포하고 있는 것으로 밝혀졌습니다. 이번에 발견된 입사지원서 메일은 리플라이 오퍼레이터에 비해 유창한 한글 표기법을 사용하였으며, 실제 입사지원서 메일 제목 양식처럼 "회사명_직무(이름)"으로 작성되었습니다. [그림 1] '입사지원서'로 위장한 악성 메일 이메일 본문을 살펴보면 마침표를 안 쓰는 특성을 확인하실 수 있습니다. 메일에 첨부된 파일인 '이지운.7z'에는 hwp 파일로 위장한 악..

악성코드 분석 리포트 2019. 8. 5. 17:07

Exclusive, experts at Yoroi-Cybaze ZLab released a free decryptor for Loocipher Ransomware Yoroi-Cybaze ZLab의 전문가들이 빠르게 확산되고 있는 새로운 랜섬웨어인 LooCipher 랜섬웨어의 복호화 툴을 공개했습니다. ※ 관련글 바로가기 ▶ 스팸을 통해 확산되는 LooCipher 랜섬웨어 발견 (2019.06.25) Fortinet에 따르면, LooCipher 랜섬웨어가 사용한 암호화 알고리즘은 16바이트 키를 사용하는 AES-128 ECB(Electric CodeBook mode)입니다. 키는 선 정의된 문자 배열에서 시작하여 랜덤한 방식으로 생성됩니다. AES는 대칭 키 알고리즘이기 때문에, 키를 받아오면 모든 암호화..

국내외 보안동향 2019. 7. 15. 10:51

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 공정거래위원회를 사칭한 악성 메일로 소디노키비(Sodinokibi) 랜섬웨어가 유포되고 있어 이용자들의 주의를 당부드립니다. 이번에 발견된 공정거래위원회 사칭 악성메일은 '전자상거래에 대한 위반행위 조사통지서' 내용을 담고 있습니다. 또한 메일 본문 하단에 '붙임. 전산 및 비전산 자료 보존요청서 1부' 내용으로 첨부 파일 확인을 유도합니다. [그림 1] '전자상거래 위반행위 관련 조사통지서'로 위장한 악성 메일 실제 첨부파일 '전산 및 비전산자료 보존 요청서.egg'에는 2개의 PDF 파일로 위장한 악성 실행파일이 들어 있으며, 두 파일은 모두 긴 공백을 삽입하여 실행 파일(EXE)인 것을 속이려고 시도 하였습니다. [그림 2] PDF ..

악성코드 분석 리포트 2019. 7. 11. 09:53

Rig Exploit Kit Pushing Eris Ransomware in Drive-by Downloads RIG 익스플로잇 키트가 새로운 ERIS 랜섬웨어를 배포하고 있는 것으로 드러났습니다. 피해자들은 단순히 웹사이트를 방문하는 것만으로 자신도 모르는 사이 ERIS 랜섬웨어가 시스템에 설치될 수 있습니다. ※ Drive-by download(드라이브 바이 다운로드) 기법이란? 사용자가 이메일에 포함된 URL 주소를 클릭하거나 특정 웹사이트에 접속하였을 때, 사용자도 모르게 악성 소프트웨어가 사용자의 디바이스에 다운로드 되도록 만드는 해킹 기법 ERIS 랜섬웨어는 2019년 ID Ransomware 사이트에 등록되어 발견되었지만, 당시 샘플은 구할 수 없었습니다. 지난 주말, 익스플로잇 키트 연구원..

국내외 보안동향 2019. 7. 10. 11:40

New LooCipher Ransomware Spreads Its Evil Through Spam LooCipher라 명명된 새로운 랜섬웨어가 사용자를 감염시키는 실제 공격에 활발히 악용되고 있다는 사실이 발견되었습니다. 해당 랜섬웨어가 어떻게 배포되는지는 확실히 밝혀지지 않았으나, 지금까지 발견된 파일로 미루어 볼 때 스팸 캠페인을 통해 유포되는 것으로 판단됩니다. LooCipher는 보안 연구원인 Petrovic이 최초로 발견했습니다. 악성 문서를 통해 배포되는 LooCipher 연구원들은 어떤 피싱 캠페인을 통해 랜섬웨어가 배포되는지는 밝히진 못했으나, 악성 워드 문서인 "Info_BSV_2019.docm"를 통해 유포된다는 사실을 발견했습니다. 사용자가 해당 악성 문서를 클릭하면, 아래와 같이 매..

국내외 보안동향 2019. 6. 25. 10:19

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 '형사 사건번호'라는 제목으로 헌법 재판소를 사칭한 피싱 메일이 유포되고 있습니다. [그림 1] 헌법 재판소로 사칭한 피싱 메일 이 피싱 메일은 사건과 관련된 모든 자료를 함께 동봉했다며 사용자가 첨부된 파일(Documents.zip)을 실행하도록 유도합니다. 첨부 파일에는 난독화된 자바스크립트 파일 ‘Korea Criminal Case #521.js’, ‘Korean Constitutional Court #143.js’(Trojan.JS.Ransom.A)을 포함하고 있으며, 자바스크립트 파일을 실행할 경우 최종적으로 ‘Trojan.Ransom.VegaLocker’(이하 ‘VegaLocker’) 랜섬웨어에 감염됩니다. VegaLock..

악성코드 분석 리포트 2019. 6. 21. 08:15

A free Decryptor tool for GandCrab Ransomware released 갠드크랩(GandCrab) 최신 변종에 감염된 피해자들에게 좋은 소식이 있습니다. NoMoreRansomware가 갠드크랩 최신 버전용 무료 복호화 툴을 공개했습니다. 갠드크랩 최신 변종의 피해자들은 NoMoreRansom 웹사이트에 공개된 무료 복호화 툴을 통해 돈을 지불하지 않고도 파일을 복호화할 수 있게 되었습니다. 이 툴은 갠드크랩 버전 1, 4, 그리고 5~5.2로 암호화 된 파일에 사용할 수 있습니다. 유로폴은 이에 대해 아래와 같이 공지했습니다. "6월 17일, 갠드크랩 랜섬웨어 패밀리의 최신 버전용 새로운 복호화 툴이 www.nomoreransom.org에 무료로 공개되었습니다. 이 툴을 이용..

국내외 보안동향 2019. 6. 18. 14:43

GandCrab operators are shutting down their operations 2018년 초 처음 등장하여 지속적으로 발전을 거듭해온 갠드크랩(GandCrab) 랜섬웨어의 운영자들이, 갠드크랩 운영을 중단할 것이라 밝혔습니다. 사이버 보안 회사인 LMNTRIX는 2018년 초 새로운 서비스형 랜섬웨어인 GandCrab을 발견했습니다. 이는 다크웹의 러시안 해킹 커뮤니티에서 홍보되고 있었으며, RIG 및 GrandSoft 익스플로잇 키트를 사용해 악성코드를 배포했습니다. 약 1년이 넘는 기간 동안 갠드크랩 운영자들은 수많은 기능을 갖춘 여러 갠드크랩 버전을 공개했지만, 이제는 운영을 중단하고 협력자들에게 랜섬웨어 배포를 중단할 것을 요청했습니다. 2018년 10월, Cybaze Z-Lab..

국내외 보안동향 2019. 6. 3. 16:26