안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 중앙 행정기관 계정 탈취를 위해 접근하는 피싱 공격이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 "[System Administrator]-Notice!" 라는 제목으로 수신되었으며 메일 계정이 중지되었으니 이를 취소하려면, 본문에 기재된 링크를 클릭하라는 허위 내용으로 수신자의 클릭을 유도하고 계정을 탈취하기 위한 목적으로 발송되었습니다. [그림 1] 특정 행정기관의 계정 탈취를 위한 피싱 공격 이메일 메일을 수신한 사용자가 계정 중지를 해제하기 위해 메일 본문에 기재된 링크를 클릭할 경우, 계정과 패스워드를 가로채기 위한 피싱 페이지로 이동합니다. 클릭 시 바로 피싱 페이지로 이동하지 않으며, 1차 리다이렉트 페이지로 이동하..

악성코드 분석 리포트 2020. 7. 7. 13:53

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 6/24 오전부터 이력서로 위장한 랜섬웨어 이메일이 대량으로 유포되고 있어 주의가 필요합니다. 이번에 확인된 이력서 위장 랜섬웨어 이메일은 국내 대형 포털 이메일 서비스를 활용하고 있으며, 분석결과 몇년 전부터 꾸준히 이력서 및 지원서 관련 소재로 악성 이메일을 유포하고 있는 비너스락커 조직의 소행으로 판단됩니다. [그림 1] 이력서로 위장한 Makop 랜섬웨어 이메일 화면 비너스락커 조직의 경우, 2020년만 한정해도 1월부터 6월까지 쉬지 않고 주기적인 악성 이메일 공격을 진행해왔으며, 3월부터는 이메일에 Nemty 랜섬웨어가 아닌 Makop 랜섬웨어를 첨부하여 공격을 수행하고 있습니다. 바로 몇주 전인 2020년 6월 초에도 비너스락커 조..

악성코드 분석 리포트 2020. 6. 24. 15:26

안녕하세요. 이스트시큐리티 대응센터(ESRC)입니다. 5/25 오전부터 공정거래위원회를 사칭하여 '전자상거래 위반행위 조사통지서'라는 타이틀로 공공기관 및 공공기관 관련 기업들에게 다수의 랜섬웨어 이메일이 유포되고 있어 주의가 필요합니다. 비너스락커 조직의 소행으로 추정되는 이번 랜섬웨어 이메일 공격은 마치 공정거래위원회 사무관이 관련 기관 및 기업에 보낸 메일처럼 위장하고 있으며, 메일 본문에는 공정거래위원회가 보낸 공문처럼 한글로 정교하게 작성된 내용이 포함되어 있습니다. [그림 1] 공정거래위원회 사칭 랜섬웨어 이메일 본문 메일 첨부파일은 이중압축되어 있으며, 사용자가 해당 메일에 첨부된 압축파일 내에 존재하는 문서로 위장된 악성코드를 실행하게 되면 Makop 랜섬웨어 변종에 감염됩니다. 특히, 해..

악성코드 분석 리포트 2020. 5. 25. 17:21

안녕하세요? 이스트시큐리티입니다. 엔드포인트 보안 전문 기업 이스트시큐리티가 오는 2월 5일 데일리시큐에서 주최하는 제 7회 2020 대한민국 사이버위협·침해사고대응 인텔리전스 컨퍼런스(K-CTI 2020)에 참가합니다! 이스트시큐리티는 공공/기업 정보보안 관리자를 대상으로 위협 인텔리전스 솔루션 Threat Inside를 소개할 예정입니다. 또한 '정부기관 후원 해킹조직의 사이버위협 사례'를 주제로 ESRC(이스트시큐리티 시큐리티대응센터) 문종현 이사의 세션 발표도 진행되오니, 많은 관심과 참석 부탁드립니다. 주최: 데일리시큐일시: 2020년 2월 5일 수요일 오전 9시~5시장소: 서울 역삼동 한국과학기술회관 지하1층 대회의실대상: 전국 정부∙공공∙지자체∙교육기관∙금융기관∙의료기관∙일반기업 정보보안 책..

이스트시큐리티 소식 2020. 1. 30. 11:15

보안 인식 변화와 함께 등장한 EDR 사이버 보안의 대상에 대한 인식이 변화했다. 신, 변종 악성코드, 랜섬웨어와 지능형 지속위협(APT) 공격의 범람과 함께, 공격자의 최종 목표인 엔드포인트의 보안 강화에 대한 요구가 많아졌다. 그 과정에서 전통적인 보안 솔루션의 한계를 극복하고 고도화된 엔드포인트 위협을 예측-예방-대응-탐지하는 ‘EDR(Endpoint Detection and Response)’이라는 개념이 등장했다. EDR, 그러나 왜 아직인가? 하지만 이미 시장에 많은 EDR 제품이 출시되어있음에도 기대했던 만큼 보안 이슈들이 해결되지는 않고 있어, 사용자들은 제품 선택에 애로사항을 겪고 있다. 기존 EDR 제품들은 △ 평판 분석의 한계, △ 드라이버 문제, △ 에이전트, 관리콘솔 중복, △ 과..

전문가 기고 2019. 10. 11. 17:32

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 입사지원서를 위장한 악성 메일을 유포하고 있는 정황이 확인되어 이용자들의 각별한 주의가 필요합니다. 악성 메일은 이력서와 포트폴리오를 위장하여 사용자에게 악성코드를 유포합니다. 주된 악성행위로 정보 탈취를 수행하고 소디노키비 랜섬웨어를 다운로드 합니다. 수집되는 정보로는 브라우저 기록 정보, 시스템 정보 등이 있습니다. 또한 가상화폐 지갑 수집 대상에 있어 사용자에게 2차 피해를 입힐 수 있습니다. 따라서, 기업 담당자들은 출처가 불분명한 이메일 첨부파일 실행을 지양하여야 하며 사용중인 백신 업데이트의 최신화와 정기점검을 습관화 하여야 합니다. [그림 1] ‘입사지원서'로 위장한 악성 메일 [그림 2] 시스템 정보 수집 코드 일부 현..

악성코드 분석 리포트 2019. 9. 20. 13:52

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 오늘 오전 특정 전자제품 유통회사의 관리자를 사칭한 피싱 메일이 발견되었습니다. 이번에 포착된 피싱 메일은 타깃인 특정 전자제품 유통회사의 직원에게 '귀하의 계정에서 이메일 전송이 중단'되었다면서 첨부파일을 실행하여 수동으로 계정을 확인하라고 하며 계정정보 입력을 유도하는 내용을 담고 있습니다. [그림 1] 이메일 전송이 중단되었다며 첨부파일 열람 유도하는 피싱 메일 특히, 공격자는 메일이 발송된 후 이틀 후까지 계정 확인 작업을 하지 않으면 계정이 영구적으로 종료된다고 빠른 계정정보 입력을 독촉하기까지 하고 있습니다. 이메일과 함께 첨부된 html파일을 열면 다음과 같은 계정정보 입력창이 뜨게 됩니다. [그림 2] 메일에 첨부된 html파일 ..

악성코드 분석 리포트 2019. 8. 21. 15:26

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. 작년 12월 카카오톡을 통한 피싱 공격이 이루어 지고 있다는 언론의 보도가 있었습니다. 해당 공격은 탈북자를 대상으로 앱을 직접 전달하거나 구글 플레이스토어의 설치 페이지를 알려 주어 앱을 설치하도록 유도하는 피싱 공격이었습니다. 이렇게 설치되는 앱은 피해자의 사생활 정보를 탈취하는 스파이앱으로 밝혀졌습니다. 발견된 스파이앱을 제작한 공격주체는 “금성121”이라는 단체로 추정되며 한국을 대상으로 지속적인 사이버공격을 하고 있는 단체입니다. 금성121의 공격 대상 장비는 서버나 PC였으나 이번 스파이앱의 발견으로 모바일 영역까지 확대한 것을 알 수 있습니다. 그리고 금성121의 공격 대상은 군이..

악성코드 분석 리포트 2018. 12. 13. 16:53