안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 신종 코로나 바이러스의 확진자가 지속적으로 발생하면서, 국내뿐 아니라 해외에서도 신종 코로나바이러스에 대한 대중의 관심과 우려가 높아진 가운데 미국 질병통제예방센터(CDC)를 사칭하고 있는 이메일이 발견되었습니다. 파일명은 ‘CDCHAN-00815.iso’로 압축을 풀면 화면보호기 파일로 위장된 파일이 있고 실제로 악성 행위를 하는 실행 파일입니다. [그림] 수신된 이메일 화면 이번에 발견된 공격의 특징은 해외 업체에서 윈도우를 관리하기 위해 개발된 ‘Remcos’ 프로그램을 공격자들이 원격 접근 툴로 악용한다는 점입니다. 위와 같은 악성코드 피해를 예방하기 위해서는 출처가 불분명한 곳에서의 URL 클릭 혹은 파일 다운로드를 지양해야..

악성코드 분석 리포트 2020. 3. 17. 09:00

안녕하세요? 이스트시큐리티입니다. 오늘은 정보보호의 최전방, 이스트시큐리티의 '시큐리티대응센터(ESRC)'에 대해서 소개하는 시간을 가져보려고 합니다. ESRC란 무엇일까요? 보안기업, 특히 안티바이러스를 주요 아이템으로 다루는 보안기업들은 안티 바이러스 제품으로 수집된 다양한 악성코드와 공격기법 등을 분석하기 위한 ‘보안전문가집단’을 보유하고 있습니다. 이스트시큐리티의 보안전문가집단이 바로 ‘시큐리티대응센터(ESRC)’입니다. ▲이스트시큐리티 시큐리티대응센터 ESRC [사진=보안뉴스] 이스트시큐리티 시큐리티대응센터(ESRC)는 2017년 1월 3일 이스트소프트의 보안사업 조직이 분사하면서 탄생한 ‘이스트시큐리티’의 설립과 함께 만들어졌습니다. 이스트시큐리티의 대표 상품인 ‘알약(ALYac)’을 기반으로..

이스트시큐리티 소식/알약人 이야기 2020. 2. 28. 11:24

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 사용자 PC를 감염시키고 원격제어를 수행하는 악성코드가 발견되었습니다. 이 악성코드는 PDF 문서파일 아이콘과 ‘.SCR’확장자를 사용하여 화면 보호기 파일로 위장했습니다. 이는 사용자로 하여금 악성 파일을 정상 파일로 착각해 실행을 유도하기 위함입니다. [그림] 키로깅 코드 일부 감염된 PC는 공격자의 명령에 따라 제어되므로 원치 않는 악성 행위를 시도합니다. 명령의 일부로 감염 PC의 폴더 및 프로세스, 브라우저 정보 등을 탈취하고 키로깅을 수행합니다. 이는 특히 사용자의 민감한 정보가 유출될 우려가 있고, 2차 피해로 이어질 수 있기 때문에 각별한 주의가 필요합니다. 현재 알약에서는 해당 악성 코드를 ‘Backdoor.RAT.N..

악성코드 분석 리포트 2019. 12. 17. 15:47

The SLoad Powershell malspam is expanding to Italy 최근 새로운 악성 스팸 캠페인이 이탈리아를 공격하고 있습니다. 공격자들은 sLoad라는 강력한 다운로더의 새로운 변종을 확산 중입니다. sLoad는 정교한 스크립트로 과거 “Ramnit 뱅커”등과 같은 무서운 악성코드 다수를 배포하는데 사용되어 왔습니다. “CERT-Yoroi는 지난 몇 달 동안 선거구를 대상으로 한 새로운 공격 패턴을 발견했습니다. 이 일련의 악성 메일은 이탈리아의 사이버 세계를 노리는 작전을 시작한 한 공격 그룹과 연관 되어있는 것으로 보이는 일반적인 기술들을 공유했습니다.” “이러한 공격 시도가 TTP를 변경한 사이버 범죄 그룹에 의한 것인지, 아니면 완전히 새로운 집단의 짓인지는 아직까지 확..

국내외 보안동향 2018. 11. 30. 09:31

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다.최근 비트코인 등과 관련된 내용으로 악성파일이 여럿 유포된 정황이 포착되어 이용자 분들의 주의를 당부드립니다. 악성파일은 이메일에 첨부되어 특정인을 대상으로 한 이른바 스피어피싱(Spear Phishing) 공격 기법이 사용되었습니다. 공격에는 DOCX 문서와 HWP 문서 등에 삽입된 EPS(Encapsulated PostScript) 개체의 보안취약점을 이용하고 있습니다. 첫번째로 DOCX 악성문서를 악용한 사례입니다. [그림 1] 악성 DOCX 문서가 실행된 후 보여지는 화면 DOCX 악성 문서의 word/media 하위 경로에 'image1.eps' 파일이 포함되어 있습니다. EPS(Encapsulated PostScript)는 Adobe..

악성코드 분석 리포트 2017. 7. 3. 22:18

악성코드가 삽입된 HWP 파일 유포 중! 안녕하세요. 이스트시큐리티입니다. '법인(개인)혐의거래보고내역'과 '납세담보변경요구서'로 위장한 악성 HWP파일이 발견되었습니다. 사용자 분들의 주의를 당부 드립니다. 이 HWP 파일은 이메일에 첨부되어 유포되는 이른바 스피어피싱 공격에 사용되고 있는 것으로 추정됩니다. [그림 1] 악성 HWP파일 실행 시 나타나는 화면 파일명 법인(개인)혐의거래보고내역.hwp 납세담보변경요구서.hwp 유형 한컴오피스 한글 2010 문서 한컴오피스 한글 2010 문서 크기 892KB 927KB 작성자 팀장1 와우폼(www.wowform.com) 마지막 작성자 jikpurid Administrator 만든 날짜 2017-05-22 오전 7:47 2017-05-16 오전 00:49 ..

악성코드 분석 리포트 2017. 5. 23. 17:48

10분의 1수준, 저렴한 암호 해독 비용 요구하는 '박리다매'형 랜섬웨어 유포 중! 작년 말부터 국가 기관 및 기업, 심지어 국내 포털 사이트의 블로그 서비스 이용자를 대상으로 한 한국 맞춤형 비너스락커(VenusLocker) 랜섬웨어가 다양한 형태로 다수 유포되었습니다. ※ 관련 글 - 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼... 관계자 주의 필요 (▶자세히보기) - 확장자 숨겨 악성파일 열어보게 만드는 메일 유포... 고소장, 방 예약 문의 등으로 위장해 랜섬웨어 감염 (▶자세히보기) - 교육 일정표 위장한 '한국 맞춤형' 비너스락커 랜섬웨어 변종 국내 유포 중! (▶자세히보기) - 쇼핑몰에서 유출된 '고객 개인정보 리스트' 사칭한 변종 랜섬웨어 유포 중 (▶자세히보기) 그러던 중 최근 특..

악성코드 분석 리포트 2017. 5. 8. 17:19

상대방의 패를 엿볼 수 있는 사행성 도박 게임용 악성파일 유포 중! 최근 'anchul.exe', 'anchulsu.exe'와 같은 이름으로 된 사행성 도박 게임용 악성파일이 국내에서 유포 중입니다. 현재 악성 파일이 유포되고 있는 웹 사이트는 마치 인터넷 익스플로러의 연결상태가 불안정해 정상적으로 접속이 되지 않는 것처럼 보여지고 있습니다. 하지만 해당 웹 사이트의 소스를 분석해 본 결과, 이는 가짜 이미지로 위장한 것이었으며, 분석이 진행 중인 현재 이 시간에도 실제로 악성파일이 유포되고 있습니다. anchul.exe 악성파일을 유포 중인 위장 화면 공격자는 다양한 형태의 파일명으로 악성파일을 유포하고 있으며, 감염이 이루어지면 인터넷 익스플로러(Internet Explorer) 경로에 악성파일이 생..

이스트시큐리티 소식 2017. 4. 14. 15:26