최근 글로벌 운송사의 배송 물품 파손 보고서를 위장한 피싱 메일을 통해 악성코드가 유포되고 있어 사용자분들의 각별한 주의가 필요합니다. 메일 본문에는 사용자가 발송한 물품이 배송 중 손상되어 파손 상태를 기록한 “물품 파손 보고서”를 첨부하였으니 확인해달라는 내용으로 첨부파일 실행을 유도합니다. 첨부파일은 7Z 포맷의 압축파일로 내부에 VBS 스크립트 파일이 포함되어 있습니다. 해당 파일은 이중 확장자를 사용하여 파일 확장명 보기 옵션이 비활성화된 환경에서는 마치 PDF 파일처럼 보이도록 위장되어 있습니다. VBS 스크립트 파일은 주석 사이에 호출할 파워쉘 명령어를 섞어 만든 소스코드 난독화로 구성되어 있습니다. 사용자가 이를 PDF 파일로 오인하여 실행할 경우, 파워쉘 명령어가 동작하게 됩니다..

악성코드 분석 리포트 2025. 4. 21. 16:53

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.  현재 기고 중인 국방 분야 학술논문으로 위장하여 RokRAT 악성코드를 유포하는 공격이 발견되어 관련자 분들의 각별한 주의가 필요합니다. 학술 논문으로 위장한 악성 파일은 LNK (바로가기) 파일로 내부에 파워쉘 코드가 포함되어 있습니다.   LNK 파일이 실행되면, 파워쉘 명령어를 통해 LNK 파일에 내장된 여러 파일이 추출 및 생성됩니다. 이 과정에서 LNK 파일과 동일한 경로에 디코이 PDF 파일이 생성되며, %TEMP% 폴더에는 toy01.dat, toy02.dat, toy03.bat 파일이 생성됩니다. 파일명 오프셋 사이즈 행위 (LNK파일명).pdf0x000010E40x2A7965디코이 파일toy01.dat0x002A8A4..

악성코드 분석 리포트 2025. 3. 27. 15:19

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.ESRC에서는 지난해 하반기부터 SVG 포맷의 악성코드가 유포되는 공격들을 모니터링하던 중 최근 국내 기업을 대상으로 해당 공격이 진행된 정황을 포착하였습니다. 해당 공격은 글로벌 해운 업체의 선적물 안내 메일로 위장한 피싱 메일을 통해 유포되었으며, 메일 내 첨부파일 형태로 SVG 포맷의 악성코드가 존재합니다. SVG 포맷은 벡터 기반의 이미지 파일 형식으로 웹 디자인과 UI 개발에서 많이 활용되는 파일 형식입니다. XML 기반으로 작성되며, 내부에 JavaScript와 CSS를 사용할 수 있는 특징과 일반적으로 이미지 파일로 인식되어 보안 프로그램에서 악성코드로 인식하기 어렵다는 점을 악용하여 공격자들이 악성코드 유포 수단으로 사용하고 ..

악성코드 분석 리포트 2025. 3. 13. 17:58

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.  국내 기관에서 개최하는 통일 분야 교육 프로그램 지원서 파일을 이용한 워터링 홀 공격이 발견되어 관련자분들의 각별한 주의가 필요합니다.   워터링 홀 공격이란?공격 대상이 자주 방문하는 웹사이트에 미리 악성코드를 심어두고, 대상이 접속할 때를 기다렸다가 감염시키는 공격 기법입니다. 해당 방법은 특정 웹사이트를 방문하는 대상을 노려 효율적으로 감염시킬 수 있다는 점에서 위험성이 높습니다.  이번 공격은 통일 분야 교육 프로그램 수강생을 모집하기 위해 작성된 공지 게시글에 악성 지원서 문서 파일을 업로드하여, 교육 수강 신청을 위해 사이트를 방문한 사용자가 지원서 파일을 다운로드 및 실행하여 악성 파일이 감염되는 방식을 사용하고 있습니다. ..

악성코드 분석 리포트 2025. 3. 7. 09:23

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 텔레그램 계정탈취를 목적으로 하는 스미싱이 지속적으로 유포되고 있어 사용자들의 각별한 주의가 필요합니다. 스미싱 문자는 다음과 같은 내용들과 함께 피싱 링크가 포함된 형태로 유포됩니다.  [국외발신]telegram계정보안활동이발견됩니다. 계정보완을위해, 다시로그인하세요  피싱링크[국외발신] Telegram정책상 탈퇴예정이니 6시간내 인증바랍니다. 피싱링크 Telegram정책상 탈퇴예정이니 6시간내 인증바랍니다. 피싱링크 [국외발신] Telegram정책에따라 탈퇴될 예정이니 6시간이내 인증을 완료바랍니다. 피싱링크 해외기기의 로그인 접촉. 홈페이지 접속후 재연동해주세요  피싱링크스미싱 문자의 내용과 형식은 조금씩 다르지만, 공통적으로 사용자..

악성코드 분석 리포트 2025. 2. 18. 10:16

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.  최근 거래처 업무메일을 위장한 스피어 피싱 공격이 발견되어 기업 사용자분들의 각별한 주의가 필요합니다. 이번 공격은 이메일 수신자가 거래처와 업무상 메일을 주고 받는 과정 중에 공격자가 회신메일을 보냄으로써 사용자가 의심하지 못하도록 교묘하게 속이는 수법을 사용했습니다. 이를 위해 공격자는 사전에 메일 수신자의 계정을 탈취한 뒤 이메일 수신내역을 확인하는 작업을 진행했을 것으로 유추됩니다. 악성 메일은 ‘정기점검서 송부 건’ 과 ‘노트북 견적 문의’ 에 대한 회신메일에 도용된 계정을 사용하여 발신자명 조작 후 동일한 수신자에게 발송되었습니다. 첫 번째 메일의 경우 먼저 발송된 정상 회신메일과 동일한 내용으로 첨부파일만 교체하여 다시 발송..

악성코드 분석 리포트 2025. 2. 13. 18:05

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.  최근 전자문서 도착 알림, 회원정보 변경 알림, 약관 위반 알림 등 다양한 주제로 국내 포털사이트 고객센터를 사칭한 피싱 메일이 유포되고 있어 사용자들의 각별한 주의가 필요합니다.  해당 피싱 메일은 ‘작성하신 게시물이 게시중단 처리되어 안내드립니다.’ 라는 제목으로 유포되고 있으며, 실제 공식사이트에서 게시 중단 요청을 접수 받아 진행하는 게시중단 처리 안내 메일과 매우 흡사하게 제작되었습니다.   이메일 내에는 피싱 페이지 주소가 링크된 [확인하러 가기] 버튼이 포함되어 있으며 사용자가 해당 버튼을 클릭하면 공격자가 제작해 둔 피싱 페이지로 접속됩니다.   피싱 페이지는 실제 공식사이트 로그인 페이지와 매우 유사하게 제작되어있으며, ..

악성코드 분석 리포트 2025. 1. 24. 11:51

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.업무협조 요청 메일을 위장하여 악성코드를 유포하는 공격이 발견되어 사용자분들의 각별한 주의가 필요합니다.  해당 메일은 ‘업무협조 문의메일’ 이라는 제목으로 유포되고 있으며, 업무 관련 문의사항에 대한 회신을 요구하며 메일 내 첨부된 ‘문의사항 내용정리.zip’ 파일 확인을 유도합니다. 첨부파일은 ZIP 압축포맷 안에 7z 압축포맷이 있는 이중 압축파일로 되어있으며 내부에는 ‘문의사항 내용정리.js’ 라는 자바스크립트 파일이 존재합니다.  해당 자바스크립트 파일은 동일한 문자열을 나열하여 실제 코드를 숨겼으며, *false data not you* 라는 중복 문자열을 제거하면 난독화된 실제 코드가 확인됩니다.  사용자가 해당 자바스크립트 파..

악성코드 분석 리포트 2025. 1. 16. 13:43