랜섬웨어

보안분석 : 악성 매크로 파일을 포함한 악성메일 유포 주의 추가 (2019.02.27)

악성매크로를 포함한 메일이 대량으로 유포되고 있어 주의가 필요할 것으로 보입니다. 발신자 : 다수의 발신자제목 : 인보이스첨부파일 : image001.jpg A255410.WIZ 발신자 : 다수의 발신자제목 : 인보이스첨부파일 : image001.jpg A330421.xls 메일을 보시면 이진테크라는 회사를 사칭해 대량으로 악성 메일이 유포되고 있습니다. 첨부파일에는 .xls, .WIZ 파일이 각각 포함되어 있습니다. wiz 파일을 이용한 공격은 워드 파일과 마찬가지로 매크로를 악용하는 공격 방식으로, .wiz 파일은 일반적으로 워드와 연결되어 있기 때문에 사용자가 더블 클릭을 할 경우 office의 '제한된 보기'를 통해 열리게 됩니다. 해당 첨부된 파일을 실행하면 [콘텐츠 사용] 버튼을 누르라는 내용..

Code::보안이슈 2019.02.27

보안분석 : 탈취된 홈페이지를 통한 악성코드 유포 정보 (2019.02.11)

공격자는 홈페이지를 탈취하여 웹페이지를 삽입하고, 자신이 업로드한 파일을 다운로드 받을수 있도록 설정을 해두었습니다. 발견된 사이트들의 특징을 보면 대부분 워드프레스를 사용하고 있는것으로 확인이 됩니다. 삽입된 웹페이지는 모두 비슷한 형태로 구성되어 있으며, 다운로드 링크 클릭시 악성코드 유포지로 설정된 URL로 접속하여 정상파일로 위장한 랜섬웨어를 다운로드 받도록 설정되어 있습니다. 웹페이지 내부에는 특정 스크립트를 삽입하여 한번 접속한 웹 페이지는 사용할 수 없도록 설정되어 있으며 재접속시 정상페이지가 나타나도록 설정이 되어 있습니다. 해당 페이지는 동일한 사이트를 다시 재접속한 화면 입니다. 페이지를 보시면 정상적인 페이지로 보이고 다운로드 링크는 사라진것을 확인할 수 있습니다. 현재 악성코드 유포..

Code::보안이슈 2019.02.11

보안분석 : 명예훼손 관련 출석통지서를 사칭한 악성메일 유포 주의 (2019.02.11)

최근 다양한 형태의 악성메일이 유포되고 있어 주의가 필요할 것으로 보입니다. 발신자 : helpdesk@incheonpolice.com 제목 : 온라인 명예훼손관련 출석통지서 첨부파일명 : image.png 출석통지서.rar 최근 발견된 출석통지서를 사칭한 메일을 보시면 위와 같이 경찰서를 사칭하고 있으며, 첨부파일은 rar 압축 형태로 이루어져 있습니다. 출석통지서.rar 압축 파일을 보시면 워드(doc) 문서로 위장하고 있지만, 실제 확장자는 실행파일(exe)인 것으로 확인이 됩니다. 해당파일은 현재 다수의 백신에서 탐지중이므로 백신을 항상 최신상태로 유지 하시어 2차 피해예방을 하시기 바랍니다. 현재도 악성메일은 다양한 형태로 유포 중이며 의심스러운 메일은 열람을 금지하시기를 추천 드립니다. htt..

Code::보안이슈 2019.02.11

보안분석 : 입사지원서를 위장한 첨부파일(.rar) 악성메일 유포 주의 추가 (2019.02.01)

최근 다양한 형태로 갠드크랩 랜섬웨어가 대량으로 유포되고 있어 주의가 필요할 것으로 보입니다. 발신자 : soar_17@naver.com 제목 : 열심히 하겠습니다 김송이에요.rar 첨부파일명 : 열심히 하겠습니다 김송이에요.rar 메일은 네이버 계정으로 보내졌으며, 첨부파일에는 확장자(.rar) 파일이 포함되어 있습니다. 첨부파일을 확인해 보면 워드문서를 가장한 실행파일이며, 파일 실행시 외부로부터 통신을 시도하여 통신 성공시 랜섬웨어에 감염이 되게 됩니다. 현재 해당파일은 다수의 백신에서 탐지중이며, 백신을 최신상태로 유지하시고 의심가는 파일은 실행시 주의가 필요할 것으로 보입니다. - 확인된 발송 이메일 주소kimsewoon@starhaksa.comyoonjiin@damoadesign.compark..

Code::보안이슈 2019.02.01

보안분석 : DHL 택배를 사칭한 악성메일 유포 주의 (2019.01.21)

DHL 택배를 사칭한 악성메일이 유포되는 정황이 발견 되었습니다. 발신자 : admin@webdesigningcourse.in (변경가능) 제목 : DHL 배송 정확한 주소지 정보 및 도시 우편번호 친절하게 제출 (변경가능) 첨부파일명 : DHL_DOCUMENT_PDF.ace (변경가능) 메일 본문을 확인해보면 첨부파일을 실행시켜 정확한 배송 주소 정보를 기입하라는 내용으로 이루어져 있습니다. 압축파일 안에는 PDF.exe 실행 파일이 존재하고 있으며, 해당 파일 실행시 외부로부터 통신을 수행한후 악성파일을 받아와 수행하는 기능이 추가되어 있습니다. 최근 악성행위를 수행하는 메일이 지속적으로 유포되고 있어 주의가 필요할 것으로 보입니다.

Code::보안이슈 2019.01.21

보안분석 : 입사지원서를 위장한 첨부파일(.alz) 악성메일 유포 주의 추가 (2019.01.21)

최근 입사지원서를 사칭한 메일이 다시 유포되고 있는 정황이 포착 되었습니다. 발신자 : hotbara@naver.com (수시로 변경됨) 제목 : 이승렬_지원서 (수시로 변경됨) 첨부파일명 : 이승렬_지원서.alz (수시로 변경됨) 해당내용은 (2018.11.28) 올렸던 내용과 유사한 성향을 보이고 있습니다. http://securitycode.tistory.com/90?category=753570 메일본문을 확인해 보면 간단한 문구와 함께 지원서.alz 파일이 첨부되어 있는것을 확인할수 있습니다. 첨부파일 안에는 총 3개의 파일이 존재하고 있으며, jpeg 파일을 보시면 유난히 파일 크기가 큰것을 확인할수 있습니다. 지원서.doc.lnk 파일은 실행파일로 위장하고 있으며, 자세한 사항을 확인해 보면 ..

Code::보안이슈 2019.01.21

보안분석 : 연말정산 안내문을 위장한 악성메일 유포 주의 (2019.01.14)

최근 연말정산 시즌을 겨냥하여 악성메일이 유포되고 있어 주의가 필요할 것으로 보입니다. 발신자 - helpdesk@hometaxkorea3.com- 1414jh@naver.com 메일제목- 2018년도 연말정산 변경사항 안내 첨부파일명- 2018년 연말정산 안내.doc- 메일본문내 링크 메일본문 내용은 2017년과 2018년 연말정산 내용에 차이가 있으니 확인하라는 내용으로 이루어져 있습니다. 해당 doc 문서를 열면 매크로를 실행하게 되어 있으며, 해당 매크로를 실행시 악성행위가 이루어 집니다. 또한 첨부파일이 없이 본문내 링크를 달아 URL접근을 유도하는 경우도 발견되어 더욱 주의가 필요할 것으로 보입니다. 메일 제목, 발신자, 내용 등은 수시로 바뀔수 있습니다.

Code::보안이슈 2019.01.14

보안분석 : 법원을 사칭한 악성메일 유포 주의 추가 (2019.01.11)

법원을 사칭한 악성메일이 추가로 발견되었습니다. 발신자 : kma@jnpa.co.kr 제목 : 법원 명령 첨부파일 : S12GF803.zip 발신자, 제목, 첨부파일명은 변경될수 있습니다. 2018년 12월 11일 올렸던 내용과 동일한 메일형태 입니다. 메일내용을 보시면 첨부된 문서를 확인하라는 내용이 담겨 있습니다. 실제 첨부파일안에는 exe 실행파일이 존재하고 있으며, 실행파일 클릭시 악성행위를 하는것으로 확인이 됩니다. 해당 파일은 몇개의 백신에서는 탐지가되고, 또 몇개의 백신에서는 탐지가 안되는 것으로 확인이 되므로 의심스러운 메일은 확인을 다시한번 해보시길 권장드립니다. 백신은 항상 최신상태로 유지하시는걸 추천 드립니다.

Code::보안이슈 2019.01.11

보안분석 : 법원을 사칭한 악성메일 유포 주의 (2018.12.11)

최근 법원을 사칭하여 악성메일이 유포되고 있는 정황이 확인 되었습니다. 발신자 : ysj@jnpa.co.kr (변경가능) 제목 : 법원 명령 (변경가능) 첨부파일명 : S12GF803.zip (변경가능) 메일을 확인해 보면 발신자와 수신자가 동일한것을 확인할수 있으며, 본문 내용에는 파일에 첨부 된 법원 명령 및 사건을 확인하라는 내용이며 번역기를 돌려 한국어로 메일을 보낸것으로 추정이 됩니다. 첨부된 zip 파일안에는 실행파일이 첨부되어 있는것을 확인할수 있습니다. 최근 다양한 방식으로 악성메일이 유포되고 있고, 발신자, 수신자, 제목 등 변경이 가능하니 참고 하시면 되실것 같습니다.

Code::보안이슈 2018.12.11

보안분석 : 고용노동부를 사칭한 첨부파일(.alz) 악성메일 유포 주의 (2018.12.04)

최근 고용노동부를 사칭한 악성메일이 유포되고 있어 주의가 필요할 것으로 보입니다. 발신자 : helpdesk@koreanodong4.com (변동될수 있음, 최근 이슈를 보면 @koreanodong4.com 숫자 부분이 주로 변경됨) 제목 : [고용노동부] 임금체불관련 출석요구서 첨부파일명 : 다운로드.png 출석요구서.alz 메일의 본문 내용을 확인해 보면 임금체불 진정서가 제출되었으니 출석하라는 내용으로 이루어져 있습니다. 첨부파일 안에는 2개의 링크파일과, 한개의 실행 파일이 존재하며 링크파일의 내용을 살펴보면 명령프롬프트(CMD)를 이용하여 .exe 파일이 실행되게 설정 되어 있습니다. 바이러스 토탈 확인결과 다수의 백신에서 현재 탐지 중이며, 업데이트가 될것으로 예상됩니다. 메일을 열람하시기 전..

Code::보안이슈 2018.12.04
반응형