제품 견적 의뢰 위장 피싱메일 유포 중
최근 ASEC 분석팀에서는 제품의 견적 의뢰를 요청한다는 내용으로 피싱메일들을 모니터링하였다. 해당 피싱 메일들은 공통적으로 제조업체나 주물공장의 팀장, 부장과 같이 높은 직책의 관리자가 보낸 것처럼 위장하고 있다. 또한 첨부파일이 있었는데, .html과 .htm이었다. 이 글에서는 대표적인 두 가지 견적의뢰 위장 피싱메일에 대한 정보를 전달한다. 편의상 1번 피싱 메일, 2번 피싱 메일로 명명하여
TZW 랜섬웨어 국내 유포 중
ASEC 분석팀은 최근 내부 모니터링을 통해, 파일 암호화 후 원본 확장자 이름에 “TZW” 확장자를 추가하는 TZW 랜섬웨어가 유포되는 것을 확인하였다. 해당 랜섬웨어는 버전 정보 상 “System Boot Info” 라고 명시하여 부트 정보 관련 프로그램인 것처럼 정상 파일로 위장하여 유포되고 있다. 닷넷 형태로 제작되었으며 내부에 로더와 실제 랜섬웨어 데이터를 포함한다. 로더를
사용자 메일 주소에 따라 변경되는 피싱 페이지 (favicon 이용)
ASEC 분석팀에서 지속적으로 피싱 메일에 대하여 모니터링을 수행하고 있다. 다수의 피싱 메일들이 확인되고 있는데, 사용자가 입력하는 본인 계정의 메일 서비스 종류에 따라 그에 해당하는 아이콘으로 변경되어 유포 중임을 확인하였다. 어제인 2023년 1월 16일 날짜로 유포된 메일로, 계정이 종료됨을 경고하며 다시 활성화가 필요할 시 ‘지금 재활성화하십시오‘ 링크를 클릭하도록 유도한다. 연결 된
이더리움 클래식 코인을 채굴하는 코인 마이너 공격 사례
ASEC 분석팀은 국내외를 대상으로 유포되고 있는 코인 마이너 악성코드들을 모니터링하고 있으며, 과거 다수의 블로그들을 통해 다양한 유형의 코인 마이너 악성코드 공격 사례를 소개한 바 있다. 최근에는 이더리움 클래식 코인을 마이닝하는 악성코드들이 확인되고 있어 본 포스팅에서 소개하려고 한다. 0. 개요 코인 마이너 악성코드는 사용자의 인지 없이 설치되어 시스템의 자원을 이용해 가상화폐를
ASEC 주간 피싱 이메일 위협 트렌드 (20230101 ~ 20230107)
ASEC 분석팀에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2023년 01월 01일부터 01월 07일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로 위장하거나 사칭함으로써 사용자의
원고 청탁서로 위장한 악성코드 (안보 분야 종사자 대상)
ASEC 분석팀은 01월 08일 안보 분야 종사자를 대상으로 원고 청탁서로 위장한 문서형 악성코드 유포 정황을 확인하였다. 확보된 악성코드는 워드 문서 내 External 개체를 통해 추가 악성 매크로를 실행한다. 이러한 기법은 템플릿 인젝션(Template Injection) 기법으로 불리며 이전 블로그를 통해 유사한 공격 사례를 소개한 바 있다. 대북관련 본문 내용의 External 링크를 이용한
국세청 위장 메일을 통해 확인된 피싱 웹 서버
ASEC 분석팀에서는 최근 국세청을 사칭한 피싱메일이 유포되고 있는 정황을 확인하였다. 해당 피싱메일은 사내 메일의 비밀번호가 당일에 만료된다는 시급성을 강조하며, 계정이 잠기기 전에 암호를 유지하라는 내용으로 유포되고 있었다. 그림 1) 원문 메일 그림 2) 계정 입력 피싱 사이트 그림 3) 로그인 페이지의 소스코드 ‘같은 비밀번호를 유지’라는 URL을 클릭하면 사내 메일
ASEC 주간 피싱 이메일 위협 트렌드 (20221225 ~ 20221231)
ASEC 분석팀에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2022년 12월 25일부터 12월 31일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로 위장하거나 사칭함으로써 사용자의
한글 워드 프로세서 크랙으로 위장하여 유포 중인 Orcus RAT
ASEC 분석팀은 최근 Orcus RAT이 웹하드에서 한글 워드 프로세서의 크랙 버전으로 유포 중인 것을 확인하였다. 이를 유포한 공격자는 과거 웹하드에서 윈도우 정품 인증 툴을 위장해 BitRAT과 XMRig 코인 마이너를 유포하였던 공격자와 동일하다.[1] 공격자가 유포 중인 악성코드들은 과거와 유사한 형태이지만, BitRAT 대신 Orcus RAT을 사용한 것이 특징이다. 이외에도 안티바이러스의 행위 탐지를
카카오 로그인화면으로 위장한 웹페이지
ASEC 분석팀은 최근 카카오의 로그인 페이지를 위장하여 특정인의 계정정보를 취하려는 정황을 확인하였다. 사용자가 해당 페이지에 최초 접속하게 되는 정확한 유입경로는 확인되지 않았으나, 피싱메일을 통해 접속하게 되는 페이지에서 웹 로그인을 유도하였을 것으로 추정된다. 웹페이지에 접속하면 아래의 그림 1)과 같이 카카오 계정의 ID가 자동완성 되어있다. 카카오메일이 있을 경우 메일 아이디만 입력하면 로그인이
