안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 하반기부터 스미싱이 급증하는 추세입니다. 그리고 급증하는 만큼 스미싱 악성 앱들의 종류도 다양해지고 있습니다. 그중에는 글로벌 하게 활동 중인 "xLoader"의 변종도 포함되어 있었습니다. 해당 악성 앱은 최근 업데이트되어 유포된 것으로 보이며 26개국의 언어를 지원하도록 제작되어있습니다. 그리고 배포 방법이 스미싱을 활용하는 것으로 변경되었습니다. ESRC에서 수집되는 택배 스미싱을 통해서도 악성 앱이 유입되고 있음을 확인하였습니다. [그림] 하드 코딩 된 26개국어 스트링 향후 스미싱이나 소셜네트워크를 유포방법으로 활용하는 악성 앱들이 더욱 증가할 것으로 예측됩니다. 이는 공격자 입장에서 공식 스토어나 웹사이트를 통한 유포 방법보다 ..

악성코드 분석 리포트 2019. 12. 20. 13:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 일본 내에서 ‘이모텟(Emotet)’ 악성코드가 기승을 부리고 있습니다. 특징으로는 이모텟에서 ‘트릭봇(TrickBot)’ 악성코드까지 연계되어 공격이 이어지고 있습니다. 현재 일본뿐만 아니라 국내에서도 공격이 활발하게 이루어지고 있어 사용자들의 주의가 필요합니다. [그림] 'Eternal Romance' 취약점 코드 일부 이 악성코드는 이메일로 국내외 많은 기업에 유포되고 있습니다. 감염 시, 공격자가 업로드하는 추가 악성코드를 다운로드하며 사용자로부터 감염 사실을 숨기기 위해 시스템 프로세스로 위장합니다. 추가로 수행되는 악성 행위로는 뱅킹 정보 탈취, 브라우저를 통한 로그인 정보 탈취, 네트워크 정보 등이 있으며 SMB취약점인 ..

악성코드 분석 리포트 2019. 12. 19. 13:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 사용자 PC를 감염시키고 원격제어를 수행하는 악성코드가 발견되었습니다. 이 악성코드는 PDF 문서파일 아이콘과 ‘.SCR’확장자를 사용하여 화면 보호기 파일로 위장했습니다. 이는 사용자로 하여금 악성 파일을 정상 파일로 착각해 실행을 유도하기 위함입니다. [그림] 키로깅 코드 일부 감염된 PC는 공격자의 명령에 따라 제어되므로 원치 않는 악성 행위를 시도합니다. 명령의 일부로 감염 PC의 폴더 및 프로세스, 브라우저 정보 등을 탈취하고 키로깅을 수행합니다. 이는 특히 사용자의 민감한 정보가 유출될 우려가 있고, 2차 피해로 이어질 수 있기 때문에 각별한 주의가 필요합니다. 현재 알약에서는 해당 악성 코드를 ‘Backdoor.RAT.N..

악성코드 분석 리포트 2019. 12. 17. 15:47

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 스미싱을 통한 악성 앱의 종류가 점점 더 다양해지고 있습니다. 해당 악성 앱은 택배 앱으로 속이고 있으며 기기 정보와 문자 정보를 탈취한 후 아이콘을 숨겨 사용자가 알아차리기 어렵게 하고 원격 명령을 통해서 감염 기기로 문자 전송도 가능합니다. 또한, 몇몇 앱들을 감시하는데 그 중 국내 은행 앱이 있으면 추가 다운로드한 악성 앱으로 바꿔치기하고 모바일 백신이 존재하면 해당 앱의 삭제를 유도합니다. [그림] 백신 삭제 유도 코드 중 일부 해당 악성 앱은 택배 앱으로 속입니다. 기기와 관련된 다양한 정보를 탈취하고 특정 앱을 바꿔치기하고 삭제를 유도합니다. 또한, 원격 명령을 통해서 문자 메시지 전송이 가능하며 앱의 분석을 어렵게 하도록 ji..

악성코드 분석 리포트 2019. 11. 21. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 한국에 몸캠 피싱앱이 등장하기 시작한 2013년부터 최근까지 몸캠 피싱앱은 은밀하고 꾸준하게 유포되고 있습니다. 몸캠 피싱은 스마트폰 채팅 어플(랜덤채팅)을 통해 피해자를 찾으며 음란 화상 채팅을 유도하여 피해자의 음란 행위를 녹화합니다. 그리고 피해자의 스마트폰에 악성앱 설치를 유도하여 지인의 연락처를 탈취한 후 음란행위 영상을 지인에게 유포하겠다는 협박을 통해 금전을 갈취 합니다. 이런 공격 과정은 체계적인 프로세스를 따르는 것으로 파악 되며 공격을 원할 하게 수행할 수 있도록 조직을 체계적으로 구성하여 역할에 따라 공격을 수행하고 있습니다. 공격자들이 조직까지 구성하며 꾸준하게 몸캠 피싱을 시도하는 이유는 결국 돈이 되기 때문일 것입..

악성코드 분석 리포트 2019. 10. 22. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 갠드크랩 4.1 버전에서 사용된 이미지를 동일하게 사용한 랜섬웨어가 발견되었습니다. 이 이미지는 다음과 같이 러시아 대통령과 러시아 문구가 삽입되어 있습니다. Nemty 랜섬웨어는 주로 입사 지원서를 위장한 메일로 유포되며, 파일명에 긴 공백을 넣어 PDF 파일인 것처럼 위장해 사용자를 속이는 것이 특징입니다. [그림] 암호화 완료 화면 현재 알약에서는 해당 악성 코드를 ‘Trojan.Ransom.Nemty’ 탐지 명으로 진단하고 있으며, 관련 상세 분석보고서는 Threat Inside 웹서비스 구독을 통해 확인이 가능합니다.

악성코드 분석 리포트 2019. 10. 21. 15:40

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. 작년 12월 카카오톡을 통한 피싱 공격이 이루어 지고 있다는 언론의 보도가 있었습니다. 해당 공격은 탈북자를 대상으로 앱을 직접 전달하거나 구글 플레이스토어의 설치 페이지를 알려 주어 앱을 설치하도록 유도하는 피싱 공격이었습니다. 이렇게 설치되는 앱은 피해자의 사생활 정보를 탈취하는 스파이앱으로 밝혀졌습니다. 발견된 스파이앱을 제작한 공격주체는 “금성121”이라는 단체로 추정되며 한국을 대상으로 지속적인 사이버공격을 하고 있는 단체입니다. 금성121의 공격 대상 장비는 서버나 PC였으나 이번 스파이앱의 발견으로 모바일 영역까지 확대한 것을 알 수 있습니다. 그리고 금성121의 공격 대상은 군이..

악성코드 분석 리포트 2018. 12. 13. 16:53

안녕하세요? 이스트시큐리티입니다. 통일부를 사칭한 해킹 공격 시도가 꾸준히 발견되고 있어, 이용자분들의 각별한 주의가 요망됩니다.특히, html 유형의 악성코드를 첨부해 보내는 특징이 있습니다. [그림 1] 스피어피싱 이메일 화면 이른바 정부지원 해커로 알려진 ‘금성121(Geumseong121)’ 그룹이 공식적인 ‘남북이산가족찾기 전수조사’ 내용으로 사칭한 해킹 이메일을 통해 APT 공격을 수행하고 있어 각별한 주의가 필요합니다. [그림 2] 남북이산가족찾기 의뢰서로 위장한 악성파일 실행 화면 시큐리티대응센터(ESRC)가 분석한 내용에 따르면, 이번 공격에 사용된 HWP 문서취약점은 기존 스타일에서 포스트스크립트(PostScript) 리버스 난독화 기법이 추가되었고, 문서 스트림에 암호화되어 숨겨진 최..

악성코드 분석 리포트 2018. 7. 4. 14:11