RATicate drops info stealing malware and RATs on industrial targets Sophos의 보안 연구원들이 기업들을 노리며 NSIS 인스톨러를 악용하여 원격 접속 툴(RAT) 및 인포스틸러 악성코드를 배포하는 한 해킹 그룹을 발견했습니다. 연구원들은 RATicate 공격자들이 2019년 11월 ~ 2020년 1월 사이에 공격을 5차례 실행해 유럽, 중동, 대한민국의 산업 기업을 노렸다고 밝혔습니다. 또한 과거 발생한 다른 유사 캠페인과 관련이 있을 것으로 의심했습니다. - 루마니아 전기 장비 제조 기업- 쿠웨이트 건설 서비스 및 엔지니어링 기업- 한국 인터넷 기업- 한국 투자 관련 기업- 영국 건축 자재 제조 기업- 한국 의학 뉴스 언론사- 한국 통신 및 전기..

국내외 보안동향 2020. 5. 18. 08:45

ProLock Ransomware teams up with QakBot trojan for network access ProLock은 비교적 새로운 악성코드지만, 기업 및 지방 정부를 대상으로 파일 복호화에 엄청난 금액을 요구함으로써 빠르게 주목 받고 있습니다. 가장 최근 이 악성코드의 피해를 입은 기업은 ATM 제공 업체로 알려진 Diebold Nixdorf입니다. 공격은 암호화 단계 이전에 발각되었으며 시스템에 아무런 영향을 미치지 못했습니다. 하지만 기업 네트워크에는 영향을 미쳐 일부 시스템 장애가 있었습니다. 평균 가격 이 랜섬웨어 패밀리는 PwndLocker로 시작되었지만 지난 3월 파일을 무료로 복호화할 수 있었던 취약점를 수정한 후 ProLocker로 리브랜딩 되었습니다. BleepingCo..

국내외 보안동향 2020. 5. 15. 15:00

New COMpfun malware variant gets commands from HTTP error codes 새로운 COMpfun 원격 액세스 트로이목마(RAT) 변종이 흔하지 않은 HTTP 상태 코드를 통해 제어되는 것으로 나타났습니다. 이 악성코드는 유럽의 외교 기관을 노린 공격에 사용되었습니다. 이 악성코드는 G-Data에서 2014년 처음 발견 및 분석하였습니다. 2019년에는 카스퍼스키가 암호화된 트래픽에 중간자 공격이 가능하며 코드가 매우 유사한 또 다른 트로이목마를 발견해 Reductor라 명명했습니다. 카스퍼스키는 이 악성코드가 Turla APT와 관련이 있을 가능성이 있다고 밝혔습니다. 업그레이드된 원격 접속 트로이목마 2019년 11월 카스퍼스키에서 발견한 새로운 COMpfun 악..

국내외 보안동향 2020. 5. 15. 09:59

PrintDemon vulnerability impacts all Windows versions 두 명의 보안 연구원(Alex Ionescu & Yarden Shafir)이 1996년에 공개된 Windows NT 4 버전 이후의 모든 윈도우 버전에 영향을 미치는 Windows 프린팅 서비스 취약점(CVE-2020-1048)에 관한 세부 정보를 공개했습니다. 코드명이 PrintDemon인 해당 취약점은 인쇄 작업 관리를 담당하는 주요 Windows 구성 요소인 Windows Print Spooler에 존재합니다. 해당 서비스는 프린트할 데이터를 물리적으로 연결된 프린터를 위한 USB/병렬 포트로 전송합니다. 로컬 네트워크 또는 인터넷 상의 프린터용 TCP 포트 또는 사용자가 추후 인쇄 작업을 저장할 이벤트..

국내외 보안동향 2020. 5. 14. 16:00

Ransomware now demands extra payment to delete stolen files 한 랜섬웨어 패밀리가 복호화 툴 값뿐만 아니라 공격 도중 훔친 파일을 공개하지 않고 삭제하기 위한 두 번째 랜섬머니를 요구하기 시작했습니다. 지난 수년 동안, 랜섬웨어 운영자들은 회사 네트워크를 암호화하기 전 데이터를 훔쳤다고 주장하며 랜섬머니를 지불하지 않을 경우 데이터를 공개하겠다고 협박해 왔습니다. 지난 2019년 11월 Maze 랜섬웨어 운영자는 실제로 훔친 파일을 공개했습니다. 그 이후로 Maze, Sodinokibi, DopplePaymer, Clop, Sekhmet, Nephilim, Mespinoza, Netwalker와 같은 거의 모든 랜섬웨어 패밀리에서 이 정책을 도입하였습니다. ..

국내외 보안동향 2020. 5. 14. 14:30

New Ramsay malware can steal sensitive documents from air-gapped networks ESET의 연구원들이 이전에는 찾아볼 수 없었던 매우 드문 고급 기능을 갖추고 있는 악성 프레임워크를 발견했다고 발표했습니다. Ramsay라 명명된 이 악성 툴킷은 에어갭 컴퓨터를 감염시켜 워드 문서와 기타 민감 문서를 숨겨진 스토리지 컨테이너에 저장해 두었다가 유출이 가능한 기회를 기다리도록 설계되었습니다. 이 악성코드의 발견은 꽤 중요한 일입니다. 조직에서 취할 수 있는 가장 엄격하고 효율적인 보안 정책인 ‘에어갭’을 뛰어넘는 기능이 포함된 악성코드는 거의 찾아볼 수 없기 때문입니다. 에어갭(air-gap) 네트워크란? 에어갭 시스템은 회사 네트워크를 물리적, 논리적으로..

국내외 보안동향 2020. 5. 14. 10:38

Android app promised to serve news updates, served ESET with a DDoS attack instead ESET이 구글 플레이스토어에서 호스팅된 악성 뉴스 앱에서 실행된 DDoS 공격을 차단한 것으로 나타났습니다. “Updates for Android”라는 앱은 평점 4.3을 기록하고 많은 좋은 리뷰를 받았지만, DDoS 공격을 실행하기 위하여 은밀히 봇을 생성하고 있었습니다. 이 앱은 2019년 9월 9일 처음 구글 플레이에 등록되었으며, 최대 5만 건의 설치를 기록하며 인기가 치솟았습니다. “Update for Android”는 뉴스 피드를 제공하는 정식 소프트웨어 앱으로 위장해 운영해 왔으며 최근에는 악성 목적으로 사용할 수 있는 기능만을 업데이트한 것으..

국내외 보안동향 2020. 5. 13. 14:00

Over 4000 Android Apps Expose Users' Data via Misconfigured Firebase Databases 구글의 클라우드 호스팅 Firebase 데이터베이스를 사용하는 안드로이드 앱 4천 개 이상에서 의도치 않게 사용자의 민감 정보를 유출하고 있는 것으로 나타났습니다. 유출된 정보는 이메일 주소, 계정명, 패스워드, 전화번호, 성명, 채팅 메시지, 위치 정보 등입니다. Security Discovery의 Bob Diachenko가 Comparitech의 파트너십을 통한 조사를 실시하여 구글 플레이스토어에 등록된 모든 앱의 약 18%인 안드로이드 앱 15,735개를 분석했습니다. 구글 Firebase를 사용하여 데이터를 저장하는 모바일 앱의 4.8%가 제대로 보호되고 있..

국내외 보안동향 2020. 5. 13. 09:52