안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 국내 인터넷주소자원을 관리하는 한국인터넷정보센터를 사칭한 악성 이메일이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 "[인터넷주소정책위원회 알림] 인터넷주소 정책결정 내역"이라는 제목을 사용하며, 인터넷주소 정책결정의 투명성과 실효성을 높이기 위해 일반국민의 의견 수렴을 빌미로 발송 되었고, 비밀번호가 설정 된 "고객정보_KRNIC0A0015.doc" 문서파일이 첨부되어 있습니다. 첨부 된 doc 문서 파일은 매크로가 포함되어 있으며, 문서가 실행되면 인터넷이 연결되지 않아 콘텐츠를 불러올 수 없다는 내용과 '콘텐츠 사용(Enable Conten)' 버튼의 클릭을 유도합니다. 추가로 발견 된 doc 문서는 가상화폐 거래소 바이낸스(Bi..

악성코드 분석 리포트 2022. 3. 25. 02:31

Tick APT 그룹은 일본과 한국을 타겟으로 하는 APT 그룹입니다. 이 조직은 각종 악성코드(예 Minzen, Datper, Nioupala 및 HomamDownLoader)를 이용하는 것으로 알려져 있습니다. PaloAlto의 Unit 42는 이전에 이미 Tick Group에 대해 언급한 적이 있습니다. 그리고 최근 Unit42는 Tick group가 국내의 방위산업체가 만든 보안 USB를 공격 타겟으로 하는 것을 확인하였습니다. 보안 USB 드라이브의 무기화는 흔하지 않은 공격기술로, 이는 즉 인터넷에 연결이 되어 있지 않은 air-gapped 시스템을 감염시킬 수도 있습니다. 이 밖에도, 이 공격에 사용된 악성코드는 Microsoft WindowsXP또는 Windows Server 2003 환경..

국내외 보안동향 2018. 7. 2. 15:35

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 '동맹과 비핵화를 주제로 한 남북 회담 관련 인터뷰 기사 문서'로 위장한 악성코드가 발견되어 주의를 당부드립니다. 이번에 발견된 악성코드를 실행하면 인터뷰 기사가 작성된 정상 문서를 보여줍니다. 하지만 드롭퍼로서, 'C:\Users\(사용자 계정)\AppData\Local\MFAData\event\' 경로에 'errors.dll' 악성 파일을 자가 복제 및 실행합니다. 또한 윈도우 부팅 시 자동 실행을 위해 자동 실행 레지스트리에 등록합니다. 추후 본 악성코드는 자가 삭제됩니다. [그림 1] 남북 회담 관련 인터뷰 기사 내용이 담긴 문서 [그림 2] 자가 복제 및 자동 실행 레지스트리 등록 코드 드롭퍼에서 실행되는 'errors.dll'은..

악성코드 분석 리포트 2018. 4. 4. 16:32