▶ 위협 배경 안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 미국 마이크로소프트(MS)사는 작년 12월 말, 해킹 그룹인 ‘탈륨(Thallium)’을 고소하고, 그들이 악용한 웹 사이트 도메인을 통제했다고 전한 바 있습니다. Microsoft takes court action against fourth nation-state cybercrime grouphttps://blogs.microsoft.com/on-the-issues/2019/12/30/microsoft-court-action-against-nation-state-cybercrime/ 특정 정부와 연계된 것으로 알려진 탈륨이라는 해킹 그룹명은 김수키라는 조직명으로도 널리 알려져 있습니다. 이들 조직은 최근까지도 'Windows ..

악성코드 분석 리포트 2020. 6. 30. 09:09

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 2019년 01월 07일 새벽 1시 경 통일부 등을 출입하는 언론사 기자들의 이메일 대상으로 대규모 스피어 피싱(Spear Phishing) 공격이 수행됐습니다. 특히, 'Windows 스크립트 파일(.wsf)'을 이용한 공격이 주목되며, 위협그룹은 자신들의 공격 흔적을 남기지 않기 위해 나름대로 신경을 쓴 것으로 추정됩니다. 더불어 공격조직의 과거 유사한 위협사례를 비교해 본 결과, 특정 정부가 지원하는 해킹조직으로 분류된 상태입니다. ▶ 오퍼레이션 코브라 베놈 등장 배경 ESRC에서는 이번 공격이 2018년 11월 '작전명 블랙 리무진'과 2018년 05월 '작전명 원제로'와 이어진다는 것을..

악성코드 분석 리포트 2019. 1. 7. 10:56

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 해외에서 스테가노그래피(Steganography) 기술을 이용한 랜섬웨어 유포 수법이 등장했습니다. 스테가노그래피란 이미지 파일 등에 또 다른 데이터를 은밀히 숨기는 기술을 의미합니다. 이번에 발견된 랜섬웨어는 이메일에 'Windows 스크립트 파일(.wsf)' 형식의 악성 스크립트 파일을 첨부해 전파되었습니다. 해당 스크립트는 내부 명령어에 의해 3개의 URL 주소로 접속해 'arrival.jpg', 'X8IOl.jpg' 등의 이미지 파일을 다운로드합니다. 실제 해당 파일은 다음과 같은 이미지 화면을 보여줍니다. [그림 1] 이미지 파일로 위장한 스테가노그래피 기법의 악성파일 - image.***.co/mxRqXF/arrival.jpg-..

악성코드 분석 리포트 2017. 8. 21. 21:39