TinyNuke info-stealing malware is again attacking French users 인포 스틸링 악성코드인 TinyNuke가 프랑스 사용자들을 노리는 새로운 캠페인을 통해 재등장했습니다. 이들은 제조, 기술, 건설, 비즈니스 서비스의 개인 및 회사 이메일 주소로 인보이스로 위장한 피싱 이메일을 전송했습니다. 이 캠페인의 목표는 크리덴셜 및 기타 개인 정보를 훔치고 해킹된 시스템에 추가 페이로드를 설치하는 것입니다. TinyNuke의 재등장 TinyNuke 악성코드는 2017년에 처음 발견되어 2018년 정점에 이르렀다가 2019년에 크게 감소했으며 2020년에는 거의 사라졌습니다. 해당 캠페인을 분석한 Proofpoint의 연구원은 이 악성코드가 두 세트로 이루어진 별도의 C..

국내외 보안동향 2021. 12. 14. 09:00

BlackCat: A New Rust-based Ransomware Malware Spotted in the Wild 최초의 Rust 언어 기반 랜섬웨어 변종이 지난 달 활동을 시작해 실제 공격을 통해 이미 여러 국가에서 피해자를 발생시킨 것으로 나타났습니다. 이 랜섬웨어의 이름은 BlackCat으로, MalwareHunterTeam이 발견해 공개했습니다. 연구원들은 트위터를 통해 아래와 같이 설명했습니다. "피해자는 비트코인이나 모네로로 랜섬머니를 지불할 수 있습니다." "또한 이들은 협상을 위해 중개자에게 크리덴셜을 제공하는 것으로 보입니다." BlackCat은 이전에 등장한 많은 다른 변종과 유사하게 서비스형 랜섬웨어(RaaS: ransomware-as-a-service)의 형식을 따릅니다. 코어 ..

국내외 보안동향 2021. 12. 13. 14:00

Serious Log4j Security Flaw Puts The Entire Internet At Risk, Even iCloud And Steam 최근 마인크래프트(Minecraft)를 통한 장난에 대해 들어보셨을 것입니다. 친구에게 "${jndi:ldap://"로 시작하는 채팅 메시지를 보낼 경우 친구의 마인크래프트 클라이언트가 브라우저 창을 열고 특정 웹사이트로 이동할 수 있게 됩니다. 따라서 장난을 좋아하는 사용자들은 이 마인크래프트의 취약점으로 보이는 문제를 악용하여 친구들에게 충격적이고 혐오스러운 콘텐츠를 보낼 수 있었습니다. 하지만, 불행하게도 이는 마인크래프트의 취약점이 아니라 마인크래프트가 로깅에 사용하는 Apache Log4j 라이브러리에 존재하는 취약점인 것으로 나타났습니다. 문제는..

국내외 보안동향 2021. 12. 13. 09:00

Dark Mirai botnet spreads targeting RCE on TP-Link routers Dark Mirai 봇넷이 TP-Link TL-WR840N EU V5 홈 라우터에 존재하는 취약점인 CVE-2021-41653을 악용하여 확산되는 것으로 나타났습니다. CVE-2021-41653 취약점의 CVE 페이지에서는 아래와 같이 설명했습니다. "TL-WR840N(EU)_V5_171211 펌웨어를 사용하는 TP-Link TL-WR840N EU v5 라우터의 PING 기능이 IP 주소 입력 필드의 조작된 페이로드를 통한 원격 코드 실행(RCE)에 취약합니다." TP-Link는 2021년 11월 12일 펌웨어 업데이트인 TL-WR840N(EU)_V5_211109를 공개해 취약점을 해결했습니다. 이 ..

국내외 보안동향 2021. 12. 10. 14:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. Log4j 라이브러리는 아파치 소프트웨어 재단에서 개발한 인기 있는 Java 로깅 프레임 워크입니다. Log4j는 프로그램을 작성하는 도중에 로그를 남기기 위해 사용되는 자바 기반 로깅 유틸리티 입니다. 이번에 발견된 주요 취약점은 Log4j 2 버전에 존재하는 JNDI(Java Naming and Directory Interface) 인젝션 취약점으로, 이를 악용하면 원격 코드 실행(RCE)이 가능하게 됩니다. Apache Log4j 2 버전에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)을 통해 악성파일 감염 등의 피해가 발생할 수 있어 최신 버전으로 긴급 업데이트가 필요합니다. 또한, 추가적으로 서비스 거부 취약점(CVE-..

국내외 보안동향 2021. 12. 10. 09:45

Malicious Notepad++ installers push StrongPity malware StrongPity로 알려진 해킹 그룹이 타깃을 악성코드에 감염시키는 Notepad++ 인스톨러를 배포하고 있는 것으로 나타났습니다. APT-C-41, Promethium으로도 알려진 이 해킹 그룹은 2016 ~ 2018년 사이에 타깃이 제한된 캠페인에서 트로이목마화된 WinRAR 설치 프로그램을 배포했었기 때문에, 이 기술이 새로운 것은 아닙니다. 최근 이들은 폭 넓은 조직에서 사용하는 윈도우용 매우 인기 있는 무료 텍스트 및 소스코드 편집기인 Notepad++를 미끼로 사용했습니다. 'blackorbird'로 알려진 분석가가 이 변조된 설치 프로그램을 발견했으며, Minerva Labs는 이 악성코드에 ..

국내외 보안동향 2021. 12. 10. 09:00

SonicWall strongly urges customers to apply patches to SMA 100 devices 보안 공급업체인 SonicWall이 SMA 100 시리즈 어플라이언스를 사용하는 고객에 여러 보안 취약점을 수정하는 보안 패치를 적용할 것을 권고했습니다. 이 중 일부 취약점은 ‘치명적’으로 분류되었습니다. "SonicWall은 SMA 200, 210, 400, 410, 500v 제품을 포함 SMA 100 시리즈 어플라이언스에서 치명적, 보통 심각도(CVSS 5.3-9.8)인 취약점을 확인 및 패치했습니다. WAF가 활성화된 SMA 100 시리즈 어플라이언스도 대부분의 위 취약점의 영향을 받습니다.” "조직에서는 아래 지침에 따라 SMA 200, 210, 400, 410, 500..

국내외 보안동향 2021. 12. 9. 14:00

Hackers infect random WordPress plugins to steal credit cards 신용 카드 스와이퍼가 온라인 상점 WordPress 사이트의 랜덤한 플러그인에 주입되어 탐지를 피한 채 고객의 지불 세부 정보를 훔치는 것으로 나타났습니다. 크리스마스 쇼핑 시즌이 다가오면서 공격자는 온라인 상점을 은밀한 스키머에 감염시키려는 노력을 더욱 강화하고 있습니다. 따라서 관리자는 경계를 늦추지 말아야 할 것입니다. 최근 유행하는 수법은 카드 스키머를 WordPress 플러그인 파일에 주입하는 것입니다. 대부분이 탐지를 피하기 위해 면밀히 모니터링되는 'wp-admin' 및 'wp-includes' 코어 디렉토리를 피하고 있습니다. 의외로 잘 보이도록 숨어 Sucuri의 새로운 보고서에..

국내외 보안동향 2021. 12. 9. 09:00