Ransomware Exploits GIGABYTE Driver to Kill AV Processes RobbinHood 랜섬웨어 공격자들이 안티바이러스 및 보안 소프트웨어를 종료하는데 사용할 서명되지 않은 악성 드라이버를 윈도우에 설치하기 위해 취약한 GIGABYTE 드라이버를 악용하고 있는 것으로 나타났습니다. 랜섬웨어 공격자가 네트워크 전체를 공격하기 위해서는 탐지를 피해 랜섬웨어 실행파일을 가능한 빠르게 많은 시스템에 배포해야 합니다.하지만 랜섬웨어 파일이 실행되기 전에 이를 제거하는 안티바이러스 소프트웨어 때문에 쉽지 않습니다. 이 난관을 극복하기 위해 RobbinHood 랜섬웨어 운영자는 시스템 암호화를 위해 워크스테이션에 배포되는 안티바이러스 킬링 패키지를 활용하고 있었습니다. 보안 프로세스..

국내외 보안동향 2020. 2. 7. 17:37

Hackers abuse BitBucket to infect 500K+ hosts with arsenal of malware 공격자들이 현재 진행 중인 캠페인에 사용되고 있는 악성코드 유형 7개를 저장하기 위해 Bitbucket 코드 호스팅 서비스를 악용하고 있다고 Cybereason의 연구원들이 밝혔습니다. 전문가들에 따르면, 이 악성코드는 이미 전 세계 기업 컴퓨터 50만대 이상을 감염시켰습니다. 이 공격자들은 데이터 스틸러, 가상 화폐 마이너, 랜섬웨어 등을 모두 활용해 피해자를 다방면으로 공격합니다. 또한 연구원들은 이 캠페인에서 관찰된 페이로드가 코드 저장 플랫폼인 Bitbucket의 계정 다수에서 발견되어 공격자가 배포 인프라로써 이를 활용한 것으로 보인다고 밝혔습니다. 공격자들은 여러 보안 ..

국내외 보안동향 2020. 2. 6. 13:57

DoppelPaymer Ransomware Sells Victims' Data on Darknet if Not Paid DoppelPaymer 랜섬웨어가 피해자가 돈을 지불하지 않을 경우 훔친 파일을 판매하거나 공개하겠다고 선언했습니다. 최근 여러 랜섬웨어 운영자들이 피해자의 기기를 암호화하기 전 파일을 훔치는 전략을 사용하고 있습니다. 이는 피해자가 랜섬머니를 지불하지 않을 경우 해당 데이터를 공개하거나 판매하겠다며 협박하는 형식입니다. 이 새로운 전략은 2019년 11월 Maze 랜섬웨어가 Allied Universal을 공격 후 랜섬머니를 받을 수 없게 되자 훔친 파일을 공개함으로써 시작되었습니다. 그 이후 Sodinokibi/REvil 랜섬웨어 또한 훔친 데이터를 게시했으며, Nemty 랜섬웨어는..

국내외 보안동향 2020. 2. 5. 10:03

Sudo Bug Lets Non-Privileged Linux and macOS Users Run Commands as Root Apple 시큐리티의 Joe Vennix가 sudo 유틸리티에서 또 다른 취약점을 발견했습니다. 이 취약점은 특정 구성에서 권한이 없는 사용자나 악성 프로그램이 리눅스나 macOS 시스템에서 관리자 권한(루트)으로 임의 명령을 실행할 수 있도록 허용할 수 있습니다. Sudo는 macOS와 대부분의 UNIX 또는 Linux 기반 OS에 핵심 명령어로써 선탑재되는 가장 중요하며 강력하고, 흔히 사용되는 유틸리티입니다. Sudo는 사용자가 환경을 전환하지 않고도 응용 프로그램이나 명령어를 다른 사용자의 권한으로 실행할 수 있도록 설계되었습니다. Sudo 취약점 (CVE-2019-18..

국내외 보안동향 2020. 2. 4. 13:42

미국과 영국, 일본에서 코로나 바이러스 관련 피싱 공격 발견 최근 성행 중인 코로나 바이러스를 미끼로 사용하는 피싱 캠페인이 진행 중인 것으로 나타났습니다. 이 캠페인은 미국과 영국의 개인을 노리며 미 CDC(Centers for Disease Control and prevention) 및 바이러스 학자를 사칭하여 해당 지역의 새로운 감염 사례에 대해 경고하고 ‘안전 조치’를 제공하는 것처럼 속입니다. 공격자들은 2019 신종 코로나바이러스(2019-nCOV, 우한 코로나바이러스라고도 알려짐)로 인한 전 세계적으로 발생하는 건강에 대한 염려를 악용하고 있습니다. 우한 코로나바이러스 피싱 캠페인 #1 KnowBe4의 연구원들이 발견한 피싱 캠페인에 따르면, 공격자들은 피해자들이 메시지 내 링크를 클릭하도록..

국내외 보안동향 2020. 2. 3. 14:01

CVE-2020-7247 RCE flaw in OpenSMTPD library affects many BSD and Linux distros Qualys의 보안 연구원들이 OpenSMTPD에서 CVE-2020-7247로 등록된 취약점을 발견했습니다. OpenSMTPD는 RFC 5321에서 정의된 서버 측 SMTP 프로토콜의 오픈소스 구현으로 일부 추가 표준 확장 또한 포함하고 있습니다. 일반 기기가 SMTP 프로토콜을 사용하는 다른 시스템과 메일을 교환하는데 사용할 수 있습니다. OpenSMTPD는 FreeBSD, NetBSD, Debian, Fedora, Alpine Linux를 포함한 많은 리눅스 배포판에 존재합니다. CVE-2020-7247 취약점은 원격 공격자가 악용할 경우 OpenSMTPD 클라..

국내외 보안동향 2020. 1. 30. 10:43

A new piece of Snake Ransomware targets ICS processes SentinelOne의 보안 전문가들이 최근 Snake 랜섬웨어가 산업용 제어 시스템(ICS)와 관련된 프로세스와 파일을 노리고 있다고 밝혔습니다. Snake 랜섬웨어는 Golang 프로그래밍 언어로 작성되었으며, 전 세계 기업을 노리는 공격에 사용되었습니다. ▶ 참고 : 기업 네트워크를 노리는 SNAKE 랜섬웨어 발견 연구원들에 따르면, Snake가 노리는 ICS 대부분은 GE에서 만든 제품과 관련이 있는 것으로 나타났습니다. 이스라엘의 사이버 보안 회사인 Otorio는 Snake 랜섬웨어를 만든 곳은 이란이며 산업 제어 시스템을 공격할 목적으로 설계되었다고 밝혔습니다. Otorio는 Snake 랜섬웨어가 ..

국내외 보안동향 2020. 1. 29. 14:12

New Ryuk Info Stealer Targets Government and Military Secrets Ryuk 스틸러 악성코드의 새로운 버전이 군대, 정부, 금융, 재무제표, 은행 관련 및 기타 민감 데이터와 관련된 기밀 파일을 대량으로 훔치도록 개선된것이 확인되었습니다. 2019년 9월, 연구원들은 Ryuk 랜섬웨어에 대한 참조를 포함하고 파일 이름에 특정 키워드가 포함되어 있을 경우 이를 훔치는 새로운 악성코드에 대해 발표했습니다. Ryuk 랜섬웨어 운영자가 피해자의 컴퓨터에서 데이터를 암호화하기 전 데이터를 유출하기 위해 이 툴을 개발했는지, 아니면 다른 공격자가 Ryuk 랜섬웨어의 코드를 차용한 것인지는 아직 확인되지 않았습니다. 이 악성코드는 훔친 파일이 유출될 경우 정부, 군사 작전,..

국내외 보안동향 2020. 1. 28. 10:49