New ransomware masquerades as COVID-19 contact-tracing app on your Android device 코로나 바이러스 팬데믹 상황을 악용한 새로운 랜섬웨어 변종이 배포되고 있습니다. ESET 연구원들은 이 랜섬웨어가 캐나다 정부(Health Canada)에서 접촉자 추적 조사 앱인 ‘COVID Alert’를 개발하겠다고 발표한지 단 며칠 후부터 시작되었다고 밝혔습니다. 공식 앱은 최소 다음 달 초 사용자들에게 공개될 예정이었지만 사이버 공격자들은 이러한 정부 발표를 악용하여 캐나다의 공식 코로나19 접촉자 추적 조사 앱으로 위장한 악성 안드로이드 앱을 배포하기 시작했습니다. ESET은 Health Canada의 추정 앱으로 위장한 악성 앱이 웹사이트 2곳에서 ..

국내외 보안동향 2020. 6. 25. 14:30

VMware fixes critical vulnerability in Workstation and Fusion VMware가 VMware ESXi, Workstation, Fusion의 보안 취약점 다수를 해결하기 위한 업데이트를 발표했습니다. 이 중 하나는 ‘치명적’으로 분류되었으며 3D 그래픽이 활성화된 Workstation 및 Fusion의 기본 구성에서 발견되었습니다. 미 사이버 보안 및 인프라 보안국(CISA) 또한 경고를 발행해 “공격자가 이 취약점을 악용하여 영향을 받는 시스템을 제어할 수 있게 된다”라고 밝히며 사용자 및 관리자에 최대한 빨리 업데이트를 적용할 것을 촉구했습니다. 치명적인 취약점, CVSSv3 기본 점수 9.3 기록해 CVE-2020-3962로 등록된 치명적인 보안 문제는 ..

국내외 보안동향 2020. 6. 25. 08:37

REvil ransomware scans victim's network for Point of Sale systems 시만텍 연구원들이 REvil 랜섬웨어 운영자가 피해자 네트워크에서 PoS 시스템을 탐색하기 시작했다고 밝혔습니다. Sodinokibi로도 알려진 REvil은 서비스형 랜섬웨어(RaaS)로 익스플로잇, 노출된 원격 데스크톱 서비스, 스팸, 해킹된 MSP 등을 통해 기업 네트워크를 해킹하는 것으로 알려져 있습니다. 운영자는 타깃 네트워크에 접근한 후 측면 이동을 통해 확산되며 서버와 워크스테이션의 데이터를 훔친 후 도메인 컨트롤러에 대한 관리자 접근 권한을 얻어 네트워크 상의 모든 기기를 암호화합니다. 시만텍이 관찰한 한 캠페인에서 REvil의 제휴 파트너는 상용 Cobalt Strike 침..

국내외 보안동향 2020. 6. 24. 14:00

New WastedLocker Ransomware distributed via fake program updates 러시안 사이버범죄 그룹인 Evil Corp가 새로운 랜섬웨어인 WastedLocker를 사용하기 시작한 것으로 나타났습니다. 이 랜섬웨어는 기업을 노린 타깃 공격에 사용됩니다. Indrik Spider라고도 알려진 Evil Corp 범죄 그룹은 ZeuS 봇넷의 제휴 파트너로 시작되었습니다. 시간이 지남에 따라, 이들은 피싱 이메일을 통해 뱅킹 트로이목마와 Dridex 다운로더를 배포하는데 집중했습니다. 이들의 공격이 진화함에 따라 그룹은 기업 네트워크를 노린 타깃 공격에서 Dridex 악성코드를 통해 배포되는 BitPaymer라는 랜섬웨어를 만들었습니다. NCC 그룹의 Fox-IT 보안 연..

국내외 보안동향 2020. 6. 24. 10:12

Over 100 New Chrome Browser Extensions Caught Spying On Users 구글이 최근 크롬 웹 스토어에서 석유와 가스, 금융, 의료부문을 노리는 “대규모 글로벌 감시 캠페인”의 일부로 불법적으로 사용자 민감 데이터를 수집한 확장 프로그램 106개 이상을 제거했습니다. 지난주 이를 발견한 Awake Security는 악성 브라우저 애드온이 모두 인터넷 등록 업체인 GalComm과 연결되어 있다고 밝혔습니다. 하지만 이 스파이웨어의 운영자가 누구인지는 명확히 밝혀지지 않았습니다. 이 캠페인과 구글 확장 프로그램은 피해자 기기의 스크린샷 촬영, 악성코드 로드, 클립보드 읽기, 토큰 및 사용자 입력 수집과 같은 작업을 수행했습니다. 이 문제의 확장 프로그램은 파일 포맷 변환..

국내외 보안동향 2020. 6. 23. 14:30

A new variant of the IcedID banking Trojan spreads using COVID-19 lures 새로운 버전의 IcedID 뱅킹 트로이목마 변종이 코로나19를 미끼로 사용하는 공격을 통해 배포되고 있는 것으로 나타났습니다. 이 새로운 변종은 피해자를 감염시키고 탐지를 피하기 위해 스테가노그라피 기술을 사용합니다. Juniper Threat Labs의 연구원들은 미국의 사용자들을 노리는 코로나19 테마 스팸 캠페인을 발견했습니다. 새로운 악성코드 버전은 피해자의 웹 활동을 스파잉하는 것도 가능했습니다. 사용자가 무기화된 첨부파일을 오픈하면 IcedID 뱅킹 트로이목마가 로드될 것입니다. IcedID는 2017년 처음 등장했으며 Gozi, Zeus, Dridex 등 다른 금융..

국내외 보안동향 2020. 6. 23. 10:27

Discord modified to steal accounts by new NitroHack malware 프리미엄 Discord Nitro 서비스를 무료로 사용할 수 있는 핵으로 위장한 새로운 악성코드가 배포되고 있습니다. 이 악성코드는 다양한 브라우저에 저장된 사용자의 토큰, 신용 카드 정보를 훔치고 다른 사용자에게 확산되려고 시도합니다. Discord와 같은 개방형 플랫폼을 사용하면 클라이언트가 사용하는 JavaScript 파일을 쉽게 수정할 수 있습니다. 공격자는 악성 행위를 위해 클라이언트를 수정하려는 목적으로 이를 흔히 악용합니다. 새로운 악성코드인 NitroHack은 위와 같이 클라이언트를 수정하여 Discord 사용자 토큰, 저장된 신용카드 정보를 훔치고 Discord 다이렉트 메시지를 통..

국내외 보안동향 2020. 6. 22. 14:30

Hackers use fake Windows error logs to hide malicious payload 해커들이 스크립트 기반 공격 기반을 마련하기 위해 악성 페이로드를 디코딩하도록 설계된 16진수 값으로 위장한 ASCII 문자를 저장할 목적으로 가짜 에러 로그를 사용하고 있는 것으로 나타났습니다. 이 트릭은 결국 정찰 목적 스크립트를 전달하게 되는 중간 단계 PowerShell 명령을 포함한 더욱 긴 체인의 일부입니다. 행간 읽기 Huntress Labs는 타깃 기기에서 지속성을 획득한 공격자가 공격 루틴을 수행하기 위한 특이한 트릭을 실행하는 공격 시나리오를 발견했습니다. 공격자가 이미 타깃 시스템에 접근해 지속성을 획득했을 경우, 응용 프로그램의 윈도우 에러 로그를 모방한 “a.chk” 파일..

국내외 보안동향 2020. 6. 22. 09:39