QBot uses Windows Defender Antivirus phishing bait to infect PCs Qbot 봇넷이 악성코드를 배포하기 위해 새로운 템플릿을 사용하기 시작했습니다. 이들은 사용자가 엑셀 매크로를 활성화하도록 속일 목적으로 가짜 윈도우 디펜더 안티바이러스 테마를 사용합니다. QakBot 또는 QuakBot으로도 알려진 Qbot은 은행 자격 증명, 윈도우 도메인 자격 증명을 훔치고 랜섬웨어를 설치하는 공격자들에게 원격 접속을 제공하는 윈도우 악성코드입니다. 피해자들은 보통 다른 악성코드에 감염되거나 피싱 캠페인을 통해 Qbot에 감염됩니다. 피싱 캠페인은 가짜 인보이스, 지불 및 은행 정보, 스캔 문서 등 다양한 미끼를 사용합니다. 이 스팸 메일에는 악성 엑셀(.xls)파일이..

국내외 보안동향 2020. 10. 13. 09:00

Underestimating the FONIX – Ransomware as a Service could be an error FONIX는 비교적 새로운 서비스형 랜섬웨어입니다. 운영자는 랜섬웨어를 운영하기 전에는 바이너리 크립터/패커를 전문으로 개발했습니다. FONIX 서비스형 랜섬웨어 운영자들은 다양한 사이버 범죄 포럼에서 여러 제품을 광고했습니다. FONIX는 지난 2020년 7월 처음으로 등장했으며 다행히도 감염 수는 적은 편입니다. 전문가들은 이 랜섬웨어의 제작자들이 제휴 파트너들에게 수수료를 요구하지 않고 제휴 네트워크의 랜섬 중 일부만 챙겨간다는 점을 지적했습니다. 하지만 보안 업체와 당국에서 FONIX RaaS를 과소평가할 경우 이는 빠르게 확산될 수 있을 것이라 예상했습니다. “FONIX는..

국내외 보안동향 2020. 10. 12. 14:00

Ransomware gang now using critical Windows flaw in attacks 마이크로소프트가 사이버 범죄자들이 공격 시 ZeroLogon 취약점의 익스플로잇 코드를 악용하기 시작했다고 경고했습니다. 회사는 9월 하반기 사이버 스파이 그룹인 MuddyWater(SeedWorm)에서 실행한 공격을 발견 후 공지했습니다. 이번 공격의 배후에 있는 공격자는 2014년 Dridex 뱅킹 트로이목마를 배포를 시작으로 활동을 시작한 TA505입니다. 이 그룹은 피해자를 딱히 가리지 않는 것으로 알려져 있습니다. 지난 몇 년 동안 공격자는 백도어부터 랜섬웨어까지 다양한 악성코드를 배포하는 공격을 실행해왔습니다. 최근에는 Clop 랜섬웨어를 배포한 것으로 나타났습니다. 이들은 작년 네덜란드의..

국내외 보안동향 2020. 10. 12. 09:00

Comcast cable remotes hacked to snoop on conversations 보안 연구원들이 Comcast의 XR11 Xfinity Voice Remote를 분석하던 중 물리적 접근이나 사용자와의 상호작용 없이도 도청 장치로 전환할 수 있는 방법을 발견했습니다. WarezThe Remote라 명명된 이 공격은 리모컨의 제어권을 탈취하여 약 20미터 거리에서도 대화를 도청할 수 있습니다. 단방향 암호화 적외선을 사용하는 일반 리모컨과는 달리 Comcast의 XR11은 무선 주파수를 사용하여 케이블 셋톱 박스와 통신하며, 음성 명령을 수신하는 내장 마이크가 포함되어 있습니다. 이 기기의 1,800만 대 이상이 미국 전역의 가정에서 사용되고 있습니다. Guardicore의 연구원들이 두 ..

국내외 보안동향 2020. 10. 8. 14:00

New HEH botnet can wipe routers and IoT devices 라우터, 서버, IoT 기기 등 감염된 시스템의 모든 데이터를 삭제하는 코드가 포함된 봇넷이 발견되었습니다. HEH라 명명된 이 봇넷은 Telnet 포트(23, 2323)가 온라인에 노출된 인터넷에 연결된 시스템에 브루트포스 공격을 실행하여 확산됩니다. 연결된 기기가 디폴트 또는 추측이 쉬운 비밀번호를 사용할 경우, 봇넷은 시스템에 침입하여 HEH 악성코드를 설치하는 바이너리 7개 중 하나를 즉시 다운로드합니다. 이 HEH 악성코드는 DDoS 공격 실행, 크립토마이너 설치, 프록시를 실행하거나 트래픽을 릴레이하는 코드 등 어떠한 공격적인 기능도 포함하고 있지 않습니다. 이 봇넷은 규모를 키우기 위해 감염된 기기가 인터넷..

국내외 보안동향 2020. 10. 7. 14:00

Hackers abuse Windows error service in fileless malware attack 지난 달, 익명의 해킹 그룹이 정식 WER(Windows Error Reporting) 서비스 내부에 악성코드를 삽입한 것을 Malwarebytes의 연구원들이 발견했습니다. 이는 파일리스 악성코드 공격의 일환으로 탐지를 피하기 위해 수행되었습니다. 공격 시 탐지 회피를 위해 WER 서비스를 악용하는 것은 새로운 전략은 아닙니다. 하지만 연구원들은 이 캠페인이 아직까지 알려지지 않은 사이버 스파이 그룹의 소행일 가능성이 높다고 밝혔습니다. “공격자들은 페이로드를 호스팅하기 위해 웹사이트를 해킹했으며 파일리스 공격을 수행하기 위해 CactusTorch 프레임워크를 사용했습니다. 그 후에도 분석을..

국내외 보안동향 2020. 10. 7. 09:00

Crypto-mining malware adds Linux password stealing capability TeamTNT 사이버 범죄 그룹이 크립토마이닝 웜 악성코드를 업데이트 했습니다. 이들은 악성코드에 비밀번호 탈취 기능과 네트워크 스캐너를 추가해 다른 취약한 기기로 더욱 쉽게 확산되도록 했습니다. 이 그룹은 해킹된 기기에서 무단으로 모네로(XMR)를 채굴하기 위해 Docker 인스턴스를 노리는 것으로 알려져 있지만, 이제 이 크립토재킹 악성코드는 사용자의 자격 증명 또한 수집하도록 업그레이드되었습니다. 비밀번호 스틸러, 스캐닝 기능 업그레이드 Unit 42 연구원들이 TeamTNT가 악성코드의 기능을 개선하는 작업을 진행 중이라는 것을 발견했습니다. 이번에는 mimipy(윈도우, 리눅스, mac..

국내외 보안동향 2020. 10. 6. 14:00

MosaicRegressor: Second-ever UEFI rootkit found in the wild 실제 공격에 사용된 UEFI 루트킷이 두 번째로 발견되었습니다. 보안 연구원들은 2019년부터 NGO조직 2곳에 대한 공격을 조사하던 중 이를 발견했습니다. UEFI(Unified Extensible Firmware Interface) 펌웨어는 컴퓨터의 마더보드에 납땜된 SPI 플래시 스토리지에 설치되기 때문에 OS를 재설치하거나 하드드라이브를 교체해도 제거할 수 없습니다. 따라서 악성코드는 높은 지속성을 얻을 수 있게 됩니다. 카스퍼스키 연구원인 Mark Lechtik과 Igor Kuznetsov는 이 UEFI 부트킷을 발견 후 MosaicRegressor라 명명했습니다. 이는 모듈형 다단계 악성..

국내외 보안동향 2020. 10. 6. 09:25