Tick APT 그룹은 일본과 한국을 타겟으로 하는 APT 그룹입니다. 이 조직은 각종 악성코드(예 Minzen, Datper, Nioupala 및 HomamDownLoader)를 이용하는 것으로 알려져 있습니다. PaloAlto의 Unit 42는 이전에 이미 Tick Group에 대해 언급한 적이 있습니다. 그리고 최근 Unit42는 Tick group가 국내의 방위산업체가 만든 보안 USB를 공격 타겟으로 하는 것을 확인하였습니다. 보안 USB 드라이브의 무기화는 흔하지 않은 공격기술로, 이는 즉 인터넷에 연결이 되어 있지 않은 air-gapped 시스템을 감염시킬 수도 있습니다. 이 밖에도, 이 공격에 사용된 악성코드는 Microsoft WindowsXP또는 Windows Server 2003 환경..

국내외 보안동향 2018. 7. 2. 15:35

Thanatos Ransomware Decryptor Released by the Cisco Talos Group 지난 2월, Thanatos라는 새로운 랜섬웨어가 발견된 적이 있습니다. 하지만 이 랜섬웨어의 결점으로 인해, 피해자들은 돈을 지불 하더라도 파일을 복호화할 수 없었습니다. 관련글 보기▶ Thanatos, 랜섬웨어들 중 최초로 비트코인 캐시 받아▶ 제트 캐시를 요구하는 타나토스 랜섬웨어 유포 주의 다행스럽게도, Cisco Talos Group이 이 암호화 루틴을 깨트리는 방법을 발견해 복호화 툴을 만들어 무료로 공개했습니다. Thanatos는 널리 배포된 적은 없지만, 연구원들의 분석에 따르면 어느 정도의 피해자가 발견 된 상태입니다. Cisco에 따르면, 다수의 캠페인을 통해 1.1 버전이..

국내외 보안동향 2018. 6. 27. 15:55

Thousands of Mobile Apps Expose Their Unprotected Firebase Hosted Databases 모바일 보안 연구원들이 iOS 및 안드로이드 모바일 어플리케이션들의 보호되지 않은 Firebase 데이터베이스들을 발견했습니다. 이는 1억 건이 넘는 데이터 기록을 노출 시키고 있었으며 순수 텍스트 패스워드, 사용자 계정, 위치, 그리고 일부의 경우 뱅킹 및 가상화폐 거래 등 금융 관련 기록까지 포함되어 있었습니다. 구글의 Firebase 서비스는 클라우드 기반 데이터베이스로 데이터를 JSON 포맷으로 저장하며 실시간으로 연결 된 모든 클라이언트와 동기화하는 가장 인기있는 모바일 및 웹 어플리케이션용 백엔드 개발 플랫폼들 중 하나입니다. 연구원들은 많은 앱 개발자들이 백..

국내외 보안동향 2018. 6. 26. 14:59

New SamSam Variant Requires Special Password Before Infection SamSam 랜섬웨어의 새로운 버전이 악성코드의 페이로드를 실행하는 사용자가 명령어 라인을 통해 특별한 패스워드를 입력하지 않는 이상 실행되지 않는 것으로 나타났습니다. 이는 SamSam의 제작자들이 최신 SamSam 버전에 추가한 새로운 보호 매커니즘인 것으로 나타났습니다.이전 버전에는 이 매커니즘이 없었기 때문에, SamSam 바이너리를 발견한 누구라도 파일을 더블클릭하고 실행해 컴퓨터를 감염시킬 수 있었습니다. 보안 연구원들을 의식한 수정 사항 패스워드 보호 시스템이 추가 된 것은 최종 사용자들과는 아무런 관련이 없습니다.SamSam 랜섬웨어는 주로 대기업이나 정부 기관의 프라이빗 네트워크..

국내외 보안동향 2018. 6. 25. 13:49

HeroRAT – A totally new Telegram-based Android RAT is spreading in the wild 연구원들이 C&C 및 데이터 추출에 텔레그램 프로토콜을 사용하는 새로운 안드로이드 RAT인 HeroRat을 발견했습니다. HeroRat은 텔레그램 프로토콜을 악용하는 첫 번째 악성코드는 아닙니다. TeleRAT, IRRAT과 같은 유사한 위협이 과거에도 발견 되었습니다. 이 새로운 RAT은 적어도 2017년 8월부터 사용자들을 공격해왔으며, 2018년 3월에는 텔레그램 해킹 채널에 무료로 소스코드가 공개 되어 공격자들이 다양한 변종을 만들 수 있게 되었습니다. HeroRat은 이런 방식으로 태어났지만, 해당 소스코드를 차용한 다른 변종들과는 꽤 다른 것으로 보입니다. H..

국내외 보안동향 2018. 6. 20. 11:33

China-Linked APT15 is still very active, experts found its new malware tracked as ‘MirageFox’ 보안 연구원들이 중국과 관련 된 APT그룹인 APT15의 최근 활동에 대한 증거를 발견했습니다. APT15 그룹 (Ke3chang, Mirage, Vixen Panda, Royal APT, Playful Dragon로도 알려짐)이 이전 작업 시 사용했던 툴의 코드를 차용한 새로운 악성코드를 개발했습니다. APT15는 적어도 2010년부터 활동해 왔으며, 전 세계의 국방, 첨단 기술, 에너지, 정부, 우주 항공, 제조업 분야에 대해 사이버 간첩 캠페인을 실시했습니다. 공격자들은 수 년에 걸쳐 공격을 정교화해왔습니다. 그들은 공격 시 커스텀 ..

국내외 보안동향 2018. 6. 19. 15:26

GnuPG Flaw in Encryption Tools Lets Attackers Spoof Anyone's Signature 한 보안 연구원이 세계에서 가장 널리 사용 되는 이메일 암호화 클라이언트에서 심각한 취약점을 발견했습니다. 이는 OpenPGP 표준을 사용하고, 메시지 암호화 및 디지털 서명을 위해 GnuPG를 사용합니다. 이는 연구원들이 PGP 및 S/Mime 암호화 툴에 존재하는 eFail이라는 결점을 발견한 지 약 1달 후 공개 되었습니다. 공격자들이 이를 악용할 경우 암호화 된 이메일을 순수 텍스트 형태로 사용할 수 있으며, Thunderbird, Apple Mail, Outlook을 포함한 다양한 이메일 프로그램에 영향을 미칩니다. 소프트웨어 개발자인 Marcus Brinkmann은 공..

국내외 보안동향 2018. 6. 19. 13:31

New MysteryBot Android Malware Packs a Banking Trojan, Keylogger, and Ransomware 사이버 범죄자들이 현재 안드로이드 기기를 노리는 새로운 악성코드 변종을 개발 중인 것으로 나타났습니다. 이 악성코드는 뱅킹 트로이목마, 키로거, 모바일 랜섬웨어를 포함합니다. MysteryBot이라 명명 된 이 악성코드는 아직 개발 중인 것으로 보입니다. MysteryBot, LokiBot과 관련 있어 연구원들은 MysteryBot이 잘 알려진 LokiBot 안드로이드 뱅킹 트로이목마와 관련 있는 것으로 보인다고 밝혔습니다. 연구원들은 “트로이목마 코드 두 개를 분석한 결과, 우리는 LokiBot과 MysteryBot의 제작자들이 관련이 있을 것으로 추측했습니다..

국내외 보안동향 2018. 6. 18. 10:09