안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 저작권 침해안내로 위장한 피싱 메일을 통해 Makop 랜섬웨어가 지속적으로 유포되고 있어 관계자들의 각별한 주의가 필요합니다. 해당 공격은 '비너스락커 (VenusLocker)' 소행으로 추정됩니다. 비너스락커 그룹은 지난해부터 입사지원서, 저작권 등의 내용으로 꾸준히 Makop 랜섬웨어를 유포해온 그룹으로 특정 기관 또는 업종 관계자를 타깃으로 공격을 수행하고 있는 것으로 보입니다. 금일 (5월 12일) 오전 8시 56분 경에 수신된 해당 메일은 '저작권 침해관련 안내(제자 제작자입니다)'라는 제목으로 전달되었으며, 수신자의 부적절한 이미지 사용에 대한 저작권 침해 사실을 안내하는 내용이 담겨있습니다. 발신자 이름은 국내 유명 서양화가로 알려진 작가..

악성코드 분석 리포트 2021. 5. 12. 14:38

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2020년 1월부터 6월까지 상반기 기간동안 ESRC 내부적으로 운영하고 있는 이메일 모니터링 시스템을 통해 확인한 악성 이메일 위협 관련 특징 및 통계에 대해 정리해보았습니다. 1. 2020년 상반기 수집된 이메일 통계 [그림 1] 2019년 하반기 및 2020년 상반기에 수집된 이메일 통계 2020년 상반기 수집된 이메일은 총 4,704건으로 지난해 하반기 6,611건 보다 무려 28%가 줄었습니다. 이는 2019년 하반기부터 2020년 2월까지 다수 유포되었던 Emotet과 TA505 Campaign의 영향으로 볼 수 있습니다. [그림 2] 2020년 상반기에 수집된 월별 이메일 통계 2020년 상반기 유입량을 월별로 살펴보면 1분기동안 유..

악성코드 분석 리포트 2020. 7. 8. 17:46

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019/10/10) "전자상거래 위반행위 조사통지서"로 위장하여 Nemty 랜섬웨어가 유포되고 있는 정황이 포착되었습니다. ESRC 조사 결과, 비너스락커(VenusLocker) 조직의 소행으로 추정되며, 정부 공문 포맷 이미지를 이용해 현재 대량으로 유포되고 있어 사용자들의 각별한 주의가 필요합니다. [그림 1] "전자상거래 위반행위 조사통지서"로 위장한 악성 메일 [그림 2] 메일에 첨부된 공정거래위원회 통지서 상세 내용 이번에 발견된 스팸 캠페인은 한메일 계정을 통해 발송되었고, 이전에 유포된 적 있는 공정거래위원회를 사칭했습니다. 메일의 첨부파일은 7z 형식으로 압축되어 있었으며, 압축파일 내부에는 PDF 문서로 위장한 악성 EX..

악성코드 분석 리포트 2019. 10. 10. 13:16

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019/09/30) "이름 지원서"로 위장하여 Nemty 랜섬웨어가 유포되고 있는 정황을 확인하였습니다. [그림 1] "이름 지원서"로 위장한 악성 메일 [그림 2] 지원서를 사칭한 악성 메일2 지원서를 위장한 악성 메일 캠페인은 비너스락커(VenusLocker) 조직의 수행으로 추정되며, 최근에도 채용 지원서를 위장하여 Nemty 랜섬웨어를 유포했습니다. 이번에 발견된 스팸 캠페인은 한메일 계정을 통해 발송되었고, 기존에 발견된 메일과 동일하게 입사지원서를 사칭했습니다. 메일의 첨부파일은 7z 형식으로 압축되어 있었으며, 압축파일 내부에는 MS Word 문서로 위장한 악성 EXE 랜섬웨어가 포함되어 있습니다. [그림 3] 스팸 메일에 ..

악성코드 분석 리포트 2019. 9. 30. 16:53

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 ESRC에서는 "(이름) 지원서"로 위장하여 Nemty 랜섬웨어를 유포하는 악성 캠페인 정황을 포착하였습니다. [그림 1] "(이름) 지원서"로 위장한 악성 메일 금일 지원서를 위장한 악성 메일 유포는 비너스락커(VenusLocker) 조직의 수행으로 추정하고 있으며, 이전에도(9/11) 비너스락커 조직은 Nemty 랜섬웨어를 유포한 바가 있습니다. ※ 관련글 바로가기 ▶ 비너스락커 조직, 입사지원서를 위장한 메일로 랜섬웨어 'Nemty' 유포 중! (2019.09.11)▶ 비너스락커 조직, 새로운 랜섬웨어 'Nemty' 유포 시작 (2019.08.27) 이번에 발견된 스팸 캠페인은 한메일 계정을 통해 발송되었으며, 기존에 발견된 메일과 ..

악성코드 분석 리포트 2019. 9. 23. 13:47

안녕하세요. 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 금일(2019.08.20) 비너스락커(VenusLocker) 조직이 입사지원서를 사칭한 악성 메일을 유포하고 있는 정황이 확인되어 이용자들의 각별한 주의를 당부드립니다. [그림 1] 입사지원서를 사칭한 이력서 악성메일 이번에 발견된 악성 메일은 지난 8/12에 확인된 악성메일과 동일한 내용을 담고 있으며, 문장 내에 마침표가 없고 7z로 압축된 악성파일을 첨부하고 있다는 점까지 동일합니다. ▶ 비너스락커 조직(VenusLocker) 기존보다 진화된 형태로 Sodinokibi 랜섬웨어 유포중! (2019. 08. 12) 해당 메일을 받은 수신자가 입사지원을 위한 이력서로 착각하여 압축파일을 해제하면 2개의 실행파일을 다운로드할 수 있으며, ..

악성코드 분석 리포트 2019. 8. 20. 18:12

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019.08.05) 중소기업을 타깃으로 입사지원서를 사칭한 악성 메일이 유포된 정황이 포착되어 이용자들의 주의를 당부드립니다. ESRC 분석 결과, 비너스락커(VenusLocker) 조직이 다시 RaaS 기반의 소디노키비 랜섬웨어를 활용해 악성 메일을 유포하고 있는 것으로 밝혀졌습니다. 이번에 발견된 입사지원서 메일은 리플라이 오퍼레이터에 비해 유창한 한글 표기법을 사용하였으며, 실제 입사지원서 메일 제목 양식처럼 "회사명_직무(이름)"으로 작성되었습니다. [그림 1] '입사지원서'로 위장한 악성 메일 이메일 본문을 살펴보면 마침표를 안 쓰는 특성을 확인하실 수 있습니다. 메일에 첨부된 파일인 '이지운.7z'에는 hwp 파일로 위장한 악..

악성코드 분석 리포트 2019. 8. 5. 17:07

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. 저희는 대한민국을 주무대로 활동하는 사이버 위협그룹의 활동반경을 집중 모니터링하고 있으며, 최근 몇 개월사이 가장 활발한 움직임이 감지되고 있는 조직에 주목해 위협 인텔리전스 기반 대응을 강화하고 있습니다. 이들이 사용하고 있는 침해지표 IoC 들은 A.l(인공지능) 기반 악성코드 위협대응 솔루션 '쓰렛인사이드(Threat Inside)'를 통해 제공되고 있습니다. 대표적인 한국대상 위협 행위자(Threat Actor)들 가운데에서도 금전적인 수익을 비지니스 모델로 유지하고 있는 것은 단연 독보적으로 비너스락커(VenusLocker) 조직을 꼽을 수 있습니다. 2016년 비너스락커 조직의 태동..

악성코드 분석 리포트 2018. 12. 13. 09:05