Emotet malware now installs via PowerShell in Windows shortcut files Emotet 봇넷이 피해자를 감염시키기 위해 더 이상 기본적으로 비활성화된 Microsoft Office 매크로를 사용하지 않고, PowerShell 명령이 포함된 윈도우 바로 가기 파일(.LNK)을 사용하기 시작했습니다. Emotet은 페이로드를 다운로드하는 명령을 빌드하기 위해 VBS(Visual Basic Script) 코드와 함께 .LNK 파일을 사용했기 때문에, 이는 새로운 전략은 아닙니다. 하지만 윈도우의 바로가기를 통해 직접 PowerShell 명령어를 실행한 것은 이번이 처음입니다. 캠페인 실패 이후 새로운 기술 도입해 지난 금요일, Emotet의 운영자는 악성 .LN..

국내외 보안동향 2022. 4. 27. 09:00

Quantum ransomware seen deployed in rapid network attacks 2021년 8월에 처음 발견된 Quantum 랜섬웨어 변종이 피해자에게 대응할 시간을 거의 주지 않는 신속한 공격을 수행하는 것으로 나타났습니다. 공격자는 IcedID 악성코드를 초기 액세스 벡터 중 하나로 사용하며, 공격은 원격 접근을 위해 Cobalt Strike를 배포하고, Quantum Locker를 통한 데이터 도난 및 암호화로 이어집니다. Quantum 랜섬웨어 공격을 분석한 DFIR 연구원은 해당 공격이 초기 감염에서 기기 암호화 완료까지 약 3시간 44분 걸렸다고 밝혔습니다. IcedID를 초기 액세스로 사용해 DFIR의 보고서에 따르면, 공격은 IcedID 악성코드를 타깃 시스템에 대한..

국내외 보안동향 2022. 4. 26. 14:00

Emotet malware infects users again after fixing broken installer Emotet은 악성 파일이 첨부된 스팸 메일을 통해 유포됩니다. 사용자가 첨부되어 있는 파일을 실행하면 파일 내 포함되어 있던 악성 매크로나 스크립트가 실행되며 Emotet DLL을 내려받아 메모리에 로드됩니다. 메모리에 로드 되면, 이 후 스팸공격에 사용할 이메일을 검색 및 탈취하며, 기타 악성코드들의 페이로드를 삭제합니다. 첨부파일에 존재하는 버그로 Emotet 캠페인 중단돼 지난 금요일부터, Emotet 공격자는 워드파일로 위장한 Windows LNK 파일을 비밀번호 설정되어 있는 형태로 압축한 후, 이메일에 첨부하여 유포하기 시작하였습니다. 사용자가 해당 LNK 파일을 실행하면, 다..

국내외 보안동향 2022. 4. 26. 11:11

New powerful Prynt Stealer malware sells for just $100 per month 연구원들이 인포 스틸러인 Prynt Stealer의 진화된 버전을 발견했습니다. 이 새로운 버전은 강력한 기능이 추가되었으며 키로거 및 클리퍼 모듈을 제공합니다. Prynt Stealer는 다양한 웹 브라우저, 메시징 앱, 게임 앱을 노리며 직접적인 금전 피해를 입힐 수 있습니다. 이들은 해당 툴을 100$/월, $200/분기, $700/년, 또는 $900/무제한에 판매하고 있었습니다. 또한 구매자는 악성코드 빌더를 활용해 타깃 작업에 배포할 Prynt의 특수하고 간단한 탐지하기 어려운 스핀을 만들 수도 있습니다. 폭넓은 훔치기 기능 Cyble의 악성코드 분석가는 Prynt를 분석한 결과 ..

국내외 보안동향 2022. 4. 26. 09:00

Atlassian가 인증되지 않은 사용자가 인증을 우회할 수 있는 CVE-2022-0540 취약점을 해결하였습니다. ▶ 관련 내용 보기 : Jira 인증우회 취약점(CVE-2022-0540) 주의! 해당 취약점은 Atlassian Jira Server 및 Data Center 버전 8.13.18 이전, 버전 8.14.0 이상 8.20.6 이전, 버전 8.21.0 이상 8.22.0 이전에 영향을 미칩니다. 또한 4.13.18 이전 버전의 Atlassian Jira Service Management Server 및 Data Center, 4.20.6 이전 버전 4.14.0 이상, 4.22.0 이전 버전 4.21.0 이상에도 영향을 미칩니다. 회사의 보안공지를 통하여 “Jira와 Jira Service Man..

국내외 보안동향 2022. 4. 25. 14:54

Researcher Releases PoC for Recent Java Cryptographic Vulnerability Java에서 새로이 발견된 디지털 서명 우회 취약점을 입증하는 PoC(개념 증명) 코드가 온라인에 공유되었습니다. 심각도가 높은 취약점인 CVE-2022-21449(CVSS 점수: 7.5)는 아래 버전의 Java SE 및 Oracle GraalVM Enterprise Edition에 영향을 미칩니다. - Oracle Java SE: 7u331, 8u321, 11.0.14, 17.0.2, 18 - Oracle GraalVM Enterprise Edition: 20.3.5, 21.3.1, 22.0.0.2 이 문제는 내용의 신뢰성과 무결성을 확인하기 위해 메시지와 데이터에 디지털 서명하는 ..

국내외 보안동향 2022. 4. 25. 14:00

T-Mobile confirms Lapsus$ hackers breached internal systems T-Mobile이 Lapsus$ 그룹이 몇 주 전 훔친 크리덴셜을 통해 자사의 네트워크를 침해하고 내부 시스템에 접근했다고 확인했습니다. 회사는 보안 위반 사실을 발견한 후 해당 그룹의 네트워크 접근을 차단하고 해킹에 사용 된 크리덴셜을 비활성화했다고 밝혔습니다. 또한 Lapsus$ 해커는 사고를 통해 고객이나 정부의 민감 정보를 훔치지 않았다고도 덧붙엿습니다. T-Mobile 대변인은 BleepingComputer 측에 아래와 같이 밝혔습니다. "몇 주 전, 우리의 모니터링 툴에서 한 공격자가 무단 수집한 크리덴셜을 통해 운영 툴 소프트웨어가 있는 내부 시스템에 접근한 것을 발견했습니다.” "이들..

국내외 보안동향 2022. 4. 25. 09:00

Docker servers hacked in ongoing cryptomining malware campaign Linux 서버의 Docker API가 Lemon_Duck 봇넷 운영자의 대규모 Monero 암호화 채굴 캠페인의 타깃이 되고 있는 것으로 나타났습니다. 크립토마이닝 그룹은 보안이 취약하거나 잘못 구성된 Docker 시스템을 끊임없이 공격해왔으며, 최근 몇 년 동안 대규모 악용 캠페인이 여러 차례 보고되었습니다. 특히 LemonDuck은 이전에 취약한 Microsoft Exchange 서버를 주로 악용해왔으며, 그 전에는 SSH 브루트포싱 공격을 통해 Linux 시스템, SMBGhost에 취약한 Windows 시스템, Redis 및 Hadoop 인스턴스를 실행하는 서버를 노렸습니다. 금일 발표..

국내외 보안동향 2022. 4. 22. 14:00