안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2022년 후반에 발견된 Prestige 랜섬웨어는 우크라이나와 폴란드의 운송과 물류 관련 기업들을 대상으로 공격을 진행하였습니다. Miscosoft 에서는 해당 공격그룹을 러시아에 기반을 둔 "IRIDIUM"으로 추정하고 있습니다. 해당 그룹은 2014년과 2016년 우크라이나 전력망을 공격한 "Sandworm"을 유포한 그룹입니다. 현재까지는 주로 다른 나라의 기업들이 공격 대상이 되고 있으나 러시아에 기반을 둔 공격 그룹이 진행하고 있는 만큼 우리나라도 각별한 주의가 필요합니다. 해당 랜섬웨어는 사용자 PC의 데이터를 암호화하여 금전을 요구하는 악성코드입니다. 암호화 완료된 후 바로 랜섬노트를 띄우고 피해자에게 알리는게 아니라 피해자..

악성코드 분석 리포트 2023. 5. 26. 11:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 입사지원서를 위장한 피싱 메일을 통해 랜섬웨어 및 악성코드를 유포하는 방식은 예전부터 공격자들이 즐겨 사용하는 공격 방식 중 하나로 기업 채용 담당자들이 의심없이 열어볼 가능성이 커 현재까지도 꾸준하게 공격에 사용되고 있습니다. 이번에 발견된 악성코드는 "이XX_입사지원서.hwp.scr" 파일명으로 채용 지원 문서로 위장했습니다. 해당 파일은 아래한글 문서파일의 아이콘을 사용했지만 실제로는 악성코드를 포함한 실행파일(.exe)입니다. 사용자가 악성 실행파일을 한글 문서파일로 착각해 실행하면 정상적인 지원서가 실행되지만 백그라운드에서는 악성코드가 같이 실행되어 동작합니다. 이처럼 기업의 상시채용이나 채용시즌을 노린 입사지원 피싱메일이 꾸준히..

악성코드 분석 리포트 2023. 4. 19. 13:00

안녕하세요? 이스트시큐리티입니다. 업무 시, 악성 파일 검증과 분석에 어려움을 겪고 있지는 않으신가요? Threat Inside에서는 검증된 분석 기법을 통해 악성코드가 의심되는 파일과 URL을 분석하여 안전한 업무 환경을 만들 수 있습니다. Threat Inside를 통한 분석 샘플과 연관 인텔리전스 리포트 활용법을 지금 바로 확인하시고, Threat Inside 무료 버전을 신청해보세요! 🔎 📌 제품문의 : https://www.estsecurity.com/enterprise/support/contact

이스트시큐리티 소식 2023. 3. 27. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 국내에서 작년 10월 경 LockBit 랜섬웨어를 유포하는 것으로 알려진 공격 그룹이 Amadey Bot를 활용한 정황이 확인되었고, 모듈을 통해서 정보 탈취 등의 기능을 수행하는 것으로 알려져 있습니다. 또한 최근에도 외국에서 일부 유포되는 정황이 확인되고 있습니다. Amadey의 주요 기능은 감염PC의 정보 수집 및 전송과 명령제어 기능, 그리고 추가 모듈 다운로드를 통해서는 애플리케이션 크리덴셜 탈취 및 클립보드에 저장된 암호화폐 지갑 주소 하이재킹 기능을 수행합니다. ‘Amadey’ 악성코드는 사용자 PC 정보 수집 및 전송 기능을 가진 악성코드입니다. 또한 추가적으로 모듈을 다운로드함으로써 기본 기능 외의 클립보드에 저장된 암호화..

악성코드 분석 리포트 2023. 3. 23. 14:53

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. DuckLogs 악성코드는 인포스틸러(Infostealer)와 같은 정보탈취형 악성코드로 해킹 포럼에서 판매 되었으며, 최근 2023년 1월 'SharkStealer' 라는 새로운 이름으로 다시 등장했습니다. 해킹 포럼에 게시된 글에 따르면 정보 탈취, 키로거(Keylogger), 로그인 데이터, 암호 화폐 지갑 정보 등과 같은 정보 탈취 행위를 수행합니다. DuckLogs는 브라우저의 데이터 정보, 가상화폐 지갑 정보 탈취 등의 기능을 가진 악성코드입니다. 또한, UAC(User Access Control)를 우회, 파워셸 명령어를 통해 윈도우 디펜더를 비활성화할 수 있습니다. 만일 기업체에서 이러한 악성코드에 감염이 되는 경우, 크리덴..

악성코드 분석 리포트 2023. 2. 20. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 44CALIBER 악성코드는 2년전 러시아 개발자에 의해서 github에 소스가 공개된 것을 악성코드 제작자들이 소스 수정을 통하여 악성코드로 활용하고 있습니다. 주요 특징은 요즘 게이머들 뿐만 아니라 일반인들도 많이 사용하는 디스코드 메신저에서 제공하는 “Discord Webhook API”를 사용하여 사용자 크리덴셜 정보를 전송합니다. “Discord Webhook API”를 사용하면 디스코드 채널에 메시지 및 파일을 자동으로 올릴 수 있습니다. ‘44CALIBER’ 악성코드는 디스코드 메시저에서 제공하는 Webhook api를 사용하여 사용자 시스템의 크리덴셜 정보를 디스코드 채널로 전송받는 인포스틸러 악성코드입니다. 해당 악성코드는..

악성코드 분석 리포트 2022. 12. 21. 14:03

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 게이밍 등의 목적으로 설계된 VoIP 소프트웨어 중 하나인 ‘디스코드(Discord)’의 채널의 첨부파일을 경유하여 최종적으로 ‘BluStealer’ 이름의 정보 탈취 계열의 악성코드(InfoStealer)가 지속적으로 발견되고 있습니다. 해당 악성코드는 PC 정보 및 주요 애플리케이션의 크리덴셜 정보를 탈취 및 전송하는 기능을 가지고 있습니다. ‘BluStealer’ 악성코드는 사용자 PC 정보 수집 및 정보 전송 기능을 가진 악성코드입니다. 이번 악성코드에서는 Discord를 C&C로 하는 다운로더가 사용된 점, 정보 수집 및 전송 기능이 분리되어 흐름이 진행된다는 점이 특징적입니다. 기업체에서 이러한 유형의 악성코드에 감염 혹은..

악성코드 분석 리포트 2022. 11. 25. 09:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 최근에도 스미싱 공격은 꾸준하게 발생하고 있으며 [그림 1]과 같이 키워드별 발견 비율을 확인할 수 있습니다. 건강검진 결과를 미끼로 유포되는 문자들이 압도적으로 많지만 꾸준하게 수사기관을 사칭하는 문자도 발견되고 있으며 여러 가지 버전으로 바뀌어 왔습니다. 문자 내용 본인 등본상 주거지로 2회에 걸쳐 해당서류 발송을 하였으나 반송으로 인하여 부득이하게 통신고지 해드립니다. 빠른 시일내에 상기 연락처로 연락주시기 바랍니다. 연락처 : 010-****-**** *참고 서울지방검찰청을 위장한 스미싱 문자 주의! 검찰을 사칭할 때는 연락을 통해 접근하거나 이미지를 활용한 문자를 보내 접근해오고 있습니다. 따라서 통화 시 앱 설치를 유도한다면 주의 깊..

악성코드 분석 리포트 2022. 10. 24. 11:00