North Korean Hackers Use ELECTRICFISH Malware to Steal Data 미 연방 수사국(FBI)과 미 국토안보부(DHS)가 북한 APT 그룹인 라자루스(Lazarus)에 대한 분석 보고서를 발행했습니다. 발표된 분석 보고서에는 피해자들로부터 데이터를 추출하는 악성코드인 ELECTRICFISH에 대한 내용이 포함되어 있습니다. US-CERT 사이트에 공개된 MAR AR19-129A에 따르면, 이 악성코드는 북한 해킹 그룹인 히든 코브라(HIDDEN COBRA)의 악성 행위를 추적하던 중 발견되었습니다. HIDDEN COBRA는 Lazarus, Guardians of Peace, ZINC, NICKET ACADEMY로도 알려져 있습니다. MAR-10135536-21 악성코..

국내외 보안동향 2019. 5. 13. 09:41

Dharma Ransomware Uses Legit Antivirus Tool To Distract Victims 새로운 Dharma 랜섬웨어 변종이 ESET의 AV Remover를 '연막'으로 사용해 피해자들의 주의를 돌리고, 백그라운드에서 파일을 암호화하는 것으로 나타났습니다. 이 랜섬웨어는 스팸 메일을 통해 타깃 컴퓨터로 전달되며, 스팸 메일에는 Dharma 드롭퍼 바이너리를 포함한 패스워드로 보호된 자동 압축 해제 아카이브인 Defender.exe를 첨부하고 있습니다. 이 악성 파일은 해킹된 서버 link[.]fivetier[.]com에서 호스팅됩니다. [그림 1] Dharma 감염 체인 악성 파일의 패스워드는 스팸 메일에 포함되어 있으며, 호기심 많은 피해자가 자신의 시스템에서 Dharma에 감..

국내외 보안동향 2019. 5. 10. 11:02

A bug in Mirai code allows crashing C2 servers NewSky Security의 연구원인 Ankin Anubhav가 미라이 봇(Mirai) 변종에 존재하는 버그를 이용해 C&C 서버를 중단하는 방법에 대해 소개했습니다. 그는 계정 명에 1025개 이상의 문자 “a”를 연속적으로 사용하여 C&C 서버와 연결을 시도할 경우 C&C 서버가 중단된다고 밝혔습니다. Github의 미라이 소스 코드 분석 결과, 사용자 이름이 Readline 커스텀 함수로 전달되는 것을 발견했습니다. 이 함수는 고정 버퍼 사이즈 길이를 1024로 선언했기 때문에, 1024보다 큰 값을 입력할 경우 모듈이 중단됩니다. 주요 IoT 봇넷이 미라이 코드를 기반으로 하고 있기 때문에, 이 취약점은 많은 변..

국내외 보안동향 2019. 5. 9. 09:00

ICS-CERT warns of several flaws in the GE Communicator software ICS-CERT가 GE 커뮤니케이터 소프트웨어에 존재하는 권한 상승, 하드코딩 크리덴셜 등을 포함한 취약점 5개에 대해 경고했습니다. GE 커뮤니케이터는 계량 장치를 프로그래밍하고 모니터링하는데 사용하는 사용자 친화적 소프트웨어입니다. 사용자들이 계량 장치를 프로그래밍해 실시간 측정 데이터를 열람하고 수집한 데이터를 분석할 수 있도록 도와줍니다. 이 프로그램은 전력 공급 회사, 대규모 제조사 등 전 세계 많은 조직들이 사용 중입니다. 공격자가 이 취약점을 악용할 경우 해당 GE 커뮤니케이터 소프트웨어를 실행하는 워크스테이션에 대한 관리자 권한을 얻을 수 있습니다. 전문가들은 공격자들이 이 문..

국내외 보안동향 2019. 5. 8. 15:07

New MegaCortex Ransomware Found Targeting Business Networks 기업 네트워크 및 사용자 PC를 노리는 새로운 랜섬웨어 MegaCortex가 발견되었습니다. 공격자는 네트워크 침투에 성공하면, 윈도우 도메인 컨트롤러를 통해 해당 랜섬웨어를 네트워크 전체에 배포하고 PC를 감염시킵니다. Sophos의 보고서에 따르면 이 새로운 랜섬웨어는 주로 미국, 이탈리아, 캐나다, 프랑스, 네덜란드, 아일랜드의 사용자들을 감염시켰습니다. 아직 이 랜섬웨어에 대한 암호화 알고리즘, 네트워크 침투 방법, 랜섬머니 요구 과정 등은 정확히 알려지지 않았습니다. MegaCortex 랜섬웨어 Sophos의 연구원들은 Emotet 및 Qakbot 트로이목마가 발견되었던 네트워크에서 Meg..

국내외 보안동향 2019. 5. 7. 13:44

Pre-Installed Software Flaw Exposes Most Dell Computers to Remote Hacking 보안 연구원인 Bill Demirkapi가 대부분의 델 컴퓨터에 탑재되어 출시되는 SupportAssist 유틸리티에서 치명적인 원격 코드 실행(RCE) 취약점을 발견했습니다. Dell SupportAssist(구 Dell System Detect)는 사용자 컴퓨터 시스템의 하드웨어와 소프트웨어의 상태를 검사합니다. 이 유틸리티는 델의 지원 웹사이트와 상호작용하고 자동으로 델 제품의 서비스 태그나 익스프레스 서비스 코드를 탐지합니다. 또한, 기존 장치 드라이버를 스캔하여 누락되었거나 설치 가능한 드라이버를 설치하며, 하드웨어 진단 테스트도 실행하도록 설계되어 있습니다. De..

국내외 보안동향 2019. 5. 3. 11:26

Decryptor for MegaLocker and NamPoHyu Virus Ransomware Released Emsisoft가 노출된 Samba 서버들을 노리는 MegaLocker와 NamPoHyu 바이러스 랜섬웨어용 복호화 툴을 공개했습니다. 이제 사용자들은 이 무료 복호화 툴을 사용하여 파일을 무료로 해독할 수 있게 되었습니다. MegaLocker 및 NamPoHyu 바이러스 랜섬웨어는 노출된 Samba 서버를 노리며, 피해자 PC의 데이터를 원격으로 암호화합니다. 복호화 방법 1. 복호화 툴을 다운로드합니다.MegaLocker & NamPoHyu 복호화 툴 다운로드: https://www.emsisoft.com/decrypter/megalocker 2. 라이선스 문구가 팝업되면 동의를 클릭하고..

국내외 보안동향 2019. 5. 3. 10:58

Rapidly Growing Electrum Botnet Infects Over 152,000 Users; Steals $4.6 Million Electrum 봇넷이 비트코인 지갑을 노리는 공격이 점점 거대해지고 있습니다. 공격자들은 152,000대 이상의 Electrum 봇넷으로 감염된 PC에서 가상 화폐 교환소 인프라 전체를 노리기 시작했습니다. 공격자가 탈취한 피해자의 자금은 460만 달러에 달했습니다. Electrum은 작년 12월부터 사이버 공격을 행해오던 것으로 나타났습니다. 한 사이버 범죄수사팀은 Electrum가 인프라 취약점을 악용해 가상 화폐 지갑을 사용하는 사람들이 소프트웨어 악성 버전을 다운로드하도록 속였다는 것을 발견했습니다. 공격자들은 정식 Electrum 가상 화폐 지갑 앱에 ..

국내외 보안동향 2019. 5. 2. 10:47