안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 (2019년 05월 28일), 국세청을 사칭하고 '피고인 심문에 대한 소한 안건'이라는 메일 제목으로, 악성 파일을 포함한 메일이 유포되고 있습니다. ESRC에서는 해당 피싱 메일이 TA505 조직이 유포한 것으로 추정하고 있으며, TA505 조직은 지난 5월 21일에도 대량으로 비슷한 악성 파일을 유포했습니다. [그림 1] 한국 국세청을 사칭한 악성 피싱 메일 이번에 포착한 악성 메일을 분석한 결과, 지난 3월 리플라이 오퍼레이터 조직이 유포한 메일의 본문 내용을 그대로 참고한 것을 알 수 있었습니다. [그림 2] 리플라이 오퍼레이터 vs TA505 국세청 사칭 메일 이번에 발견된 메일에도 기존과 동일하게 악성 Excel 파일이 첨부되어..

악성코드 분석 리포트 2019. 5. 28. 15:22

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 28일), '형사 사건번호'라는 제목으로 헌법 재판소를 사칭한 피싱 메일이 유포되고 있어, 사용자들의 주의가 필요합니다. 이번에 포착된 피싱 메일에는 'VegaLocker' 변종을 감염자 PC에 다운로드하고 실행시키는 것으로 조사되었으며, "리플라이 오퍼레이터(Reply Operator)" 그룹이 유포한 것으로 확인되었습니다. [그림 1] 헌법 재판소를 사칭한 피싱 메일 화면 피싱 메일에는 'Documents.zip'라는 압축 파일(.zip)이 첨부되어 있습니다. 특이한 점은 이전에 발견된 메일과 달리 보관 '파일의 비밀번호'라는 내용이 추가된 점입니다. 해당 메일을 받은 사용자가 사건과 관련된 서류로 착각해 압축을 해제..

악성코드 분석 리포트 2019. 5. 28. 10:16

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2019년 05월 20일 오전, 제품 견적문의로 위장한 악성 파일이 포함된 피싱 메일이 유포된 정황이 확인되어 사용자들의 주의가 필요합니다. [그림 1] '제품 문의 합니다.' 제목으로 전달된 악성 피싱 메일 이번에 발견된 악성 메일은 국내 포털 사이트 도메인인 'nate.com'을 악용하였으며, 이전에 유포되었던 피싱메일처럼 간단한 내용이 작성되어 있습니다. 해당 피싱 메일에는 '제품문의.egg'라는 제목의 압축 파일(.egg)이 첨부되어 있습니다. 해당 메일을 수신한 담당자가 제품 문의 관련 파일로 착각하여 압축 해제하면, 다음과 같이 Excel 파일처럼 보이는 실행 파일(.exe)을 확인하실 수 있습니다. [그림 2] Excel 파일을 위..

악성코드 분석 리포트 2019. 5. 21. 14:21

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 (2019년 05월 21일)오전 한국의 여러 기업을 대상으로 반출 신고서, 출근부 등으로 위장한 악성 파일이 포함된 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다. 이 피싱 메일은 지난 5월 16일에도 대량으로 유포된적 있으며, ESRC에서는 해당 공격이 TA505 공격 그룹에 의한 소행이라고 판단하고 있습니다. ※ 관련글 보러가기 ▶ 유출된 소스코드 기반으로 제작된 악성코드 유포 주의 (2019.02.14)▶ Trojan.Ransom.Clop 악성코드 분석 보고서 (2019.03.22)▶ 클롭(Clop) 랜섬웨어 유포 조직이 진행하는 기업 타깃 대량공격 주의! (2019.04.24)▶ TA505 조직, 요청자료 엑셀문서처럼 위장..

악성코드 분석 리포트 2019. 5. 21. 11:46

안녕하세요? 이스트시큐리티입니다. 이스트시큐리티는 지난 5월 14일(화) 여의도 전경련회관 오팔룸에서 '제1회 이스트시큐리티 엔드포인트 보안 컨퍼런스'를 개최하였습니다. 이스트시큐리티 엔드포인트 보안 컨퍼런스는 최신 보안 동향과 함께, 주요 위협 유형과 공격을 분석하고 전망 예측을 통해 엔드포인트 보안을 강화하고 보안 전략을 점검하는 자리였습니다. 컨퍼런스 장에는 다양한 분야의 보안 담당자분들께서 관심을 갖고 자리해 주셨습니다. 엔드포인트 보안에 대한 여러 질문이 쏟아지며 그 관심을 실감케 했습니다. 이번 컨퍼런스는 '2019 최신 보안 동향: 주요 사이버 위협 분석', 'EDR, 위협 대응의 새로운 대안'이라는 두 개의 세션과 '실제 구축 사례를 통해 살펴보는 엔드포인트 보안 강화 전략'을 주제로 한 ..

이스트시큐리티 소식 2019. 5. 17. 15:51

안녕하세요? 이스트시큐리티입니다. 지난달 23일 정식 출시한 알약EDR 관련 소식 전해 드립니다. 차세대 엔드포인트 위협 대응 솔루션 '알약 EDR(Endpoint Detection Response)’ 이 실제 고객 사이트에 도입, 구축되는 첫 계약이 체결되었습니다. 이번 계약은 외산 EDR 솔루션인 사이버리즌의 제품을 사용하고 있던 국내 기업이, 새롭게 출시된 차세대 국산 EDR 솔루션으로 전환(윈백, Win-Back)한 첫 사례여서 저희에게는 더욱 뜻깊은 프로젝트입니다. 알약 EDR을 도입하기로 결정한 신세계조선호텔의 보안담당자는 알약 EDR 도입을 결정할 수 있었던 주요 요인으로 "알약EDR은 신종 악성코드를 찾아 숙주를 제거하고 위협을 완전히 제거할 수 있었고, 관리자의 리소스를 최소화 해주는 자..

이스트시큐리티 소식 2019. 5. 17. 15:29

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 13일) 오전 국내 조선사를 사칭한 견적 의뢰 요청 건이라는 피싱 메일이 유포되어 사용자들의 주의가 필요합니다. [그림 1] 국내 조선사를 사칭한 피싱 메일 화면 해당 피싱 메일은 다음(daum) 도메인인 'hanmail.net'를 사용하였으며, 첨부된 대용량 파일이 아래 그림과 같이 링크를 통해 다운로드됩니다. [그림 2] 악성 대용량 파일 다운로드 화면 메일에 첨부된 대용량 파일은 각각 ACE 압축 포맷과 ZIP 압축 포맷의 압축 파일이며 해당 파일을 압축 해제하면 PDF 파일을 위장한 악성 실행파일이 들어 있습니다. [그림 3] 압축 파일 안의 악성 파일 화면 압축 파일 안에는 아래 그림과 같이 이중 확장자 형태(,..

악성코드 분석 리포트 2019. 5. 13. 15:22

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 08일) 오전부터 '수정 부분 번역 요청' 혹은 '서류'라는 MS Excel(.xls) 파일을 위장한 악성 파일이 포함된 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다. 이 피싱 메일은 지난 5월 2일에도 대량으로 유포된 적이 있었던 바 있습니다. ※ 관련글 보러가기 ▶ 유출된 소스코드 기반으로 제작된 악성코드 유포 주의 (2019.02.14)▶ Trojan.Ransom.Clop 악성코드 분석 보고서 (2019.03.22)▶ 클롭(Clop) 랜섬웨어 유포 조직이 진행하는 기업 타깃 대량공격 주의! (2019.04.24)▶ TA505 조직, 요청자료 엑셀문서처럼 위장해 한국에 악성 이메일 유포 중 (2019.05...

악성코드 분석 리포트 2019. 5. 8. 11:27