본문 바로가기

이메일14

'첨부도면 견적'을 위장하여 LZH 압축파일로 유포 중인 악성코드 자사에서는 지속적으로 피싱 메일을 통해 악성코드가 꾸준히 유포되고 있음을 확인하고 있다. 아래 [그림1]과 같이 어제(4월 2일)도 견적서 전달로 위장하는 피싱 메일이 유포 중임을 발견했다. 지난 블로그 글에서도 언급했듯이 공격자들은 피싱 메일에 악성파일을 다양한 압축 파일의 형태로 첨부하여 유포한다. [피싱 메일에 악성코드 첨부 유포 관련 지난 블로그 일부] .alz 압축 파일 부당 전자상거래 위반행위 사칭하여 Nemty 2.5 랜섬웨어 유포 https://asec.ahnlab.com/1282 .7z 압축 파일 3월 3일!! 또 다시 '전자상거래 위반행위 사칭' 신종 랜섬웨어 유포 중 https://asec.ahnlab.com/1294 .zip 압축 파일 압축 툴마다 압축해제 방식의 차이를 이용한 공격.. 2020. 4. 3.
새로운 NEMTY 랜섬웨어 v3.1 국내 유포 중 (2020.04.01) 안랩 ASEC은 4월 1일 Nemty 랜섬웨어가 NEMTY REVENUE 3.1로 업데이트 되어 국내에 유포됨을 확인하였다. 유포 방식은 기존과 동일하게 이메일의 첨부파일 형태를 이용하였다. 현재까지 확인된 첨부파일 이름은 아래와 같이 '이력서', '포트폴리오', '부당 전자상거래 위반행위' 등의 문구를 사용하고 있어 기존과 크게 달라지지 않았다. 전산 및 비전사자료 보존 요청서(20200401)_자료보존하셔서 차후 부당 이익을 피하세요.exe 부당 전자상거래 위반행위 안내(20200401)_자료보존하셔서 차후 부당이익을 피하세요.exe 이력서_김지명_열심히 열정적으로 최선을 다하겠습니다 잘 부탁 드릴께요.exe 포트폴리오_김지명_열심히 열정적으로 최선을 다하겠습니다 잘 부탁드릴께요.exe 랜섬웨어 주요.. 2020. 4. 2.
구매 확인서 관련 피싱 메일 주의! (국내 포털 사이트 ID/PW 탈취) 3월 14일, ASEC 분석팀은 '구매확인서 발급 확인요청'으로 위장한 피싱 파일(HTML 형태)이 국내에 유포되는 것을 확인하였다. 피싱(Phishing) 파일을 통해 국내 사용자들이 많이 사용하는 웹 포털 사이트 계정 정보를 입력하도록 하며, 로그인 시 입력한 ID/PW 정보는 공격자에게 전송되는 구조를 갖는다. 최근 코로나19 바이러스 관련 파일이나 이력서, 견적서 등으로 유포 중인 악성 코드를 소개한 바 있다. 이 중 대부분의 악성코드는 실행파일 형태로 아이콘과 확장자를 문서 파일(.pdf, .hwp)로 속임으로써 사용자의 감염을 유도했다. 부당 전자상거래 위반행위 사칭하여 Nemty 2.5 랜섬웨어 유포 중 2020년 1월 6일 ASEC 분석팀은 Nemty 랜섬웨어가 2.5 버전으로 업데이트 되.. 2020. 3. 17.
견적서 위장 정보 유출형 악성코드 유포 중(구글 드라이브 이용) ASEC 분석팀은 오늘(3월 4일) 견적서로 위장한 정보 탈취 형(키보드 입력값 유출) 악성코드가 유포 중임을 확인하였다. 2차 악성파일 다운로드 주소가 일반인들이 정상적으로 많이 사용하는 구글 드라이브(https://drive.google.com)를 이용한 점도 정상적인 행위로 위장하기 위한 것으로 추정된다. 해당 악성코드는 자사에서 이전에 공개하였던 오토캐드(AutoCAD) 도면 파일(dwg)로 위장한 아래의 악성코드와 동일한 유형으로 확인되었다. [주의] 오토캐드(AutoCAD) 설계도면 파일(dwg)로 위장하여 악성코드 유포 - 2020. 2. 27 https://asec.ahnlab.com/1290 아래 [그림1, 2]과 같이 메일 내부에 정상적인 견적서 이미지(img)파일이 첨부되어있으며 해당.. 2020. 3. 4.
3월 3일!! 또 다시 '전자상거래 위반행위 사칭' 신종 랜섬웨어 유포 중 ASEC 분석팀은 3월 3일 금융기관 및 인사담당자를 대상으로 '부당 전자상거래 위반행위' 및 '이력서' 사칭 랜섬웨어 유포를 확인하였다. 이메일의 압축 첨부파일(7z, zip) 형태로 유포되며, 내부에는 PDF 문서 아이콘의 실행파일(exe)이 존재한다. 일반 사용자의 경우, 문서 아이콘 형태이면서 실행파일 확장자(exe)가 노출되지 않아 문서파일로 착각하고 실행하게되며, 실제로는 랜섬웨어가 동작하게된다. 이러한 공격방식은 1월 6일자에 아래의 ASEC블로그를 통해서 소개한바 있다. 1월에는 Nemty 라는 이름의 랜섬웨어가 사용되었다면, 오늘은 아래의 확장자로 암호화되는 새로운 랜섬웨어가 확인되었다. 원본파일명.[랜덤8자].[helpdesk_makp@protonmail.ch].makop 2020.01.. 2020. 3. 3.
V3 Lite 업그레이드 사칭 악성코드 "V3 Lite를 최신 버전으로 업그레이드 하세요!" 최근 아래와 같이 'AhnLab'을 사칭한 메일이 전송되었다. [그림 1] AhnLab을 사칭한 이메일 V3 Lite 업그레이드 권고를 알리는 메일 내용과 더불어 관련 파일이 첨부됐으며, 해당 파일은 Windows 폴더 아이콘으로 위장한 'EXE' 실행 파일이었다. [그림 2] 폴더로 가장한 EXE 실행 파일 "알려진 파일 형식의 파일 확장명 숨기기" 기능이 활성화된 Windows 사용자라면 아무런 의심 없이 해당 악성 코드를 실행할 것이며, 필자 또한 폴더 아이콘에 무작정 마우스가 움직였다. 악성 코드가 실행되면 'C:\Documents and Settings\[사용자계정]\Local Settings\Application Data'경로에 'local.. 2014. 11. 28.
ASEC 보안 위협 동향 리포트 2012 Vol.42 발간 안랩 ASEC에서 2012년 12월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.36을 발간하였다. 이 번에 발간된 ASEC 리포트는 2012년 12월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다. 1) 악성코드 이슈포털 사이트 겨냥한 금감원 사칭 피싱 악성코드 주의’택배 사이트 배송조회 페이지에서 유포된 악성코드토렌트 사이트에서 유포된 hosts.ics 생성 악성코드최신 영화 공유 파일을 이용한 악성코드 유포다앙한 DDoS 공격 기능이 있는 악성코드PUP(불필요한 프로그램)의 습격한컴 엑셀 파일 취약점을 이용한 백도어 유포전자 계정 명세서로 위장한 스팸 메일이메일로 도착한 문자메시지 2) 모바일 악성코드 이슈금융사 피싱 앱 주의문자메시지 수집하는 .. 2013. 8. 16.
국내 방산업체 APT 공격 포착 최근 취약한 PDF 파일이 국내 방산업체 직원을 사칭하여 내부 직원 대상으로 이메일 통해 유포된 것이 보고되었다. PDF 파일의 내용을 보면 알 수 있듯이 사회공학적 기법을 이용하여, 방산진흥본부에서 방산업체로 업무협조 문서를 발송한 것처럼 위장하고 있다. [그림 1] PDF 파일 내용 해당 PDF 파일은 지난 2012년 8월에 ASEC 블로그의 "이메일을 이용한 어도비 CVE-2009-0927 취약점 악성코드 유포"와 유사한 형태로 공격자는 방산업체로 수신되는 문서를 이용하여 꾸준히 APT 공격을 하는 것으로 보인다. 이러한 공격으로 인해 내부 기밀 정보가 외부 공격자에게 유출되는 피해가 발생할 수 있기 때문에 국가 기관 및 방산업체에서는 심각하게 받아들여지고 있다. 따라서, 이와 같은 보안 위협에 대.. 2013. 2. 1.