안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2019년 07월 05일, 웹페이지상에서 사용자의 메일과 비밀번호를 입력하게끔 유도하는 스피어 피싱이 발견되었습니다. 이 피싱 메일들은 조달 견적 요청 메일과 송금 증명서(remittance certificate)를 사칭하여 유포되었습니다. [그림 1] 조달 견적 사칭 메일 [그림 2] 송금 증명서(remittance certificate) 사칭 메일 이번에 발견된 피싱메일은 중소기업을 타깃으로 유포되었으며, 각가 htm 파일과 dat 파일을 첨부한 것이 특징입니다. 먼저, 조달 견적을 사칭한 메일의 htm 파일을 열어보면 다음과 같이 국내 포털 사이트인 네이버 로그인 화면을 보여줍니다. [그림 3] 네이버 로그인 페이지를 사칭한 피싱 사이트 ..

악성코드 분석 리포트 2019. 7. 10. 16:20

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2019년 07월 09일, 견적 의뢰로 위장한 악성 이메일이 유포된 정황이 포착되어 사용자들의 각별한 주의가 필요합니다. [그림 1] 견적 요청 자료로 위장한 악성 메일 이번에 발견된 피싱메일은 견적서 의뢰 메일과 거의 동일한 형식으로 작성되었으며, 특정 기업의 정보를 그대로 도용하였습니다. 악성 피싱 메일에는 '견적 품목 리스트.rar'이라는 RAR 파일이 첨부되어 있으며, 메일을 받은 사용자가 견적 품목 파일로 착각해 압축 파일을 해제하면 아래와 같은 악성 실행 파일을 확인하실 수 있습니다. [그림 2] RAR 파일 안의 악성 실행파일 File Name MD5 pi.exe C3556114FF55BF6965B0BD4605F2044B 해당 악성..

악성코드 분석 리포트 2019. 7. 9. 10:53

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2019년 06월 24일, 세금 계산서를 사칭한 악성 이메일이 국내 기업에 다량으로 유포된 정황이 포착되어 사용자들의 각별한 주의가 필요합니다. [그림 1] 세금 계산서를 사칭한 피싱 메일 이번에 발견된 피싱 메일은 어눌한 한국어로 본문이 작성되었으며, "tax@taesungmarine.com"이라는 발신자명을 사용하여 세금계산서 관련 담당자가 보낸 메일인 것처럼 꾸미려고 하였습니다. File Name MD5 19030#5630.zip b534f496ca813f0b5203364576fb2112 만약 해당 메일을 받은 사용자가 세금 계산서 관련 파일로 착각해 첨부된 ZIP 파일을 다운로드하고 압축 해제하면 다음과 같이 ISO 파일을 확인하실 수 ..

악성코드 분석 리포트 2019. 6. 27. 14:39

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2019년 06월 10일경 ESRC에서는 자체 보안 모니터링 시스템을 통해, '진실겜.xls' 파일명의 악성 문서 파일을 발견했습니다. File Name MD5 진실겜.xls 64edec1d585ba599354f927249e12e6d 내부 조사결과 라자루스(Lazarus) APT 조직이 배후에 있는 것으로 확인되었습니다. 며칠 전 '라자루스(Lazarus) APT 그룹, 암호화폐 투자계약서 사칭 무비 코인 작전'을 공개한 바 있는데, 최근 비트코인의 시세가 1,500만원을 돌파하면서 특정 정부의 후원을 받는 해킹 조직의 활동이 증가하고 있어 각별한 주의가 필요합니다. 탐지 내역 C:\Users\Bit****\Downloads\Telegra..

악성코드 분석 리포트 2019. 6. 27. 10:59

안녕하세요? 이스트시큐리티입니다. 이스트시큐리티는 오는 7월 16일, 최신 보안 동향과 함께 엔드포인트 보안을 강화하고 보안 전략을 점검 할 수 있는 기회, 제2회 '2019 이스트시큐리티 정기 엔드포인트 보안 컨퍼런스'를 개최할 예정입니다. 아래 내용을 참고하시어 많은 관심과 참여 부탁드립니다. 지난 5월 14일, 제1회 이스트시큐리티 엔드포인트 보안 컨퍼런스에는 다양한 분야의 보안 담당자분들께서 관심을 갖고 자리해 주셨습니다. 자세히 보기 >> https://blog.alyac.co.kr/2274 이스트시큐리티는 정기 컨퍼런스를 격월(7월, 9월, 11월 예정)로 진행하며 '최신 엔드포인트 보안 강화 전략'에 대해 소개하는 자리를 만들어 나갈 예정이니, 기회를 놓치지 마시길 바랍니다. 많은 참여 부탁..

이스트시큐리티 소식 2019. 6. 25. 16:45

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 네이버 및 사무관을 사칭한 내용의 피싱 메일이 유포된 정황이 확인되어, 사용자분들의 각별한 주의가 요구됩니다. ESRC에서는 이번에 포착된 피싱 메일에 대해 아래와 같이 상세 분석을 진행하였습니다. 네이버 계정 비밀번호 유출을 사칭한 피싱 메일 첫 번째 피싱 메일은 네이버 계정 비밀번호가 유출되었다며, 사용자 비밀번호 변경을 유도하는 피싱 메일입니다. 해당 피싱 메일은 불특정 다수에게 보낸 메일이 아닌, 해커가 탈취하고 싶은 계정을 상대로 보낸 것입니다. [그림 1] 네이버 계정 비밀번호 유출을 사칭한 피싱 메일 사용자가 피싱 메일의 내용을 실제 본인 계정의 비밀번호가 유출된 것으로 착각해 피싱 메일의 "비밀번호 변경 바로가기"를 클릭하면..

악성코드 분석 리포트 2019. 6. 21. 16:43

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 (2019년 06월 20일) 오전부터 국내 기업들에 송금증 내용으로 위장한 악성 이메일이 다량 유포되고 있습니다. 피싱 메일이 회계 관련 내용인 만큼 회계 관련 업무를 보시는 분들의 각별한 주의가 필요합니다. [그림 1] 송금증 내용을 위장한 악성 피싱 메일 ESRC에서는 긴급 대응 진행 중이며, TA505 그룹이 유포한 것으로 파악하고 있습니다. 금일 발견된 악성 피싱 메일은 중소기업을 사칭하며 "송금증 $(랜덤숫자)" 제목으로 유포되고 있습니다. 메일 내용은 간단하게 "파일 보내드립니다"라고 적혀있습니다. 금일 발견된 메일에는 XLS, DOC 등 MS Office 문서를 악용한 악성 파일이 첨부되어 있으며, "날짜 + 송금증 + 랜덤값..

악성코드 분석 리포트 2019. 6. 20. 10:35

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2019년 06월 14일, 관세 법인 회사를 사칭한 피싱메일이 유포된 정황이 포착되었습니다. [그림 1] 관세 법인 회사를 사칭한 피싱 메일 화면 피싱 메일에는 NEWSLETTER2019.pdf.iso라는 첨부 파일이 들어 있으며, 공격자는 실제 존재하는 회사명과 도메인을 이용하였습니다. [그림 2] 도메인 비교 화면 메일에 첨부된 'NEWSLETTER2019.pdf.iso' 파일 안에는 'NEWSLETTER2019.pdf.exe'라는 악성 실행 파일이 들어 있습니다. [그림 3] 피싱 메일에 첨부된 악성 iso 파일 및 악성 실행 파일 만약 사용자가 뉴스레터(NEWSLETTER)에 대한 자세한 정보를 열람하기 위해 파일을 클릭할 경우 C:\U..

악성코드 분석 리포트 2019. 6. 17. 16:48