New SolarMarker Malware Variant Using Updated Techniques to Stay Under the Radar 사이버 보안 연구원은 탐지를 피하기 위해 방어 회피 능력을 업데이트하고 새로운 개선 사항이 포함된 SolarMarker 악성코드의 새로운 버전을 공개했습니다. Palo Alto Networks Unit 42의 연구원은 이 달 보고서를 발표해 아래와 같이 밝혔습니다. "최신 버전은 Windows Portable Executable(EXE 파일)에서 Windows 설치 프로그램 패키지 파일(MSI 파일)로 진화했습니다.” "이 캠페인은 아직까지 개발 중이며, 이전 버전과 마찬가지로 실행 파일(EXE)을 다시 사용합니다." Jupyter라고도 알려진 SolarMark..

국내외 보안동향 2022. 4. 19. 14:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 04월 10일~04월 16일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 94건이고 그중 악성은 39건으로 41.49%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 36건 대비 39건으로 3건이 증가했습니다. 일일 유입량은 하루 최저 2건(악성 2건)에서 최대 26건(악성 13건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 39건 중 Attach-Phishing형이 41.0%로 가장 많았고 뒤이어 Attach-Malware형..

악성코드 분석 리포트 2022. 4. 19. 09:30

Free decryptor released for Yanluowang ransomware victims Kaspersky가 Yanluowang 랜섬웨어의 암호화 알고리즘에서 취약점을 발견해 암호화된 파일을 복구할 수 있다고 밝혔습니다. 회사는 RannohDecryptor 유틸리티에 Yanluowang 랜섬웨어 변종에 암호화된 파일 해독 기능을 추가했습니다. "전문가들이 랜섬웨어를 분석한 결과, 알려진 평문 공격을 통해 피해자의 파일을 복호화할 수 있는 취약점을 발견했습니다.” 이 랜섬웨어 변종은 3GB보다 큰 파일과 3GB보다 작은 파일을 각각 다른 방식으로 암호화합니다. 큰 파일은 매 200MB마다 5MB만큼 부분적으로 암호화하고, 작은 파일은 처음부터 끝까지 완전히 암호화합니다. 이 때문에 "원본 파..

국내외 보안동향 2022. 4. 19. 09:00

CVE-2022-26809 취약점은 RPC(Remote Procedure Call) Runtime 중 존재하는 취약점입니다. 공격자가 특정 RPC 호출은 RPC 호스트에 보내는 것으로 취약점을 유발할 수 있으며, 악용될 경우 RPC 서버 권한으로 서버에서 원격 프로그램을 실행할 수 있게 됩니다. 영향받는 버전 모든 버전의 Windows 및 Windows Server 패치방법 ​ 최신 버전으로 업데이트 *임시조치방법 네트워크 방화벽에서 445포트 차단 참고 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26809

국내외 보안동향 2022. 4. 18. 16:08

GitHub Says Hackers Breached Dozens of Organizations Using Stolen OAuth Access Tokens 클라우드 기반 저장소 호스팅 서비스인 Github가 지난 금요일 한 공격자가 훔친 OAuth 사용자 토큰을 악용해 여러 조직의 개인 데이터를 무단으로 다운로드한 증거를 발견했다고 밝혔습니다. GitHub의 Mike Hanley는 보고서를 통해 아래와 같이 밝혔습니다. "공격자는 NPM을 포함한 조직 수십 곳에서 데이터를 다운로드하기 위해 타사 OAuth 통합업체인 Heroku와 Travis-CI에 발급된 도난 당한 OAuth 사용자 토큰을 악용했습니다.” OAuth 접근 토큰은 앱 및 서비스에서 사용자 데이터의 특정 부분에 대한 접근 권한을 부여하고, ..

국내외 보안동향 2022. 4. 18. 14:00

Microsoft: Office 2013 will reach end of support in April 2023 MS는 이번주 초, 2023년 MS Office 2013의 지원이 종료될 것임을 밝혔습니다. "5년의 일반 지원과 5년의 연장 지원이 끝나는 2023년 4월 11일, Office 2013의 지원이 종료됩니다. 지원이 종료된 후에는 더 이상 보안 업데이트를 사용할 수 없습니다."라고 밝혔습니다. 지원이 종료된 후에는 더 이상 보안 업데이트가 제공되지 않기 때문에, 잠재적 보안 위협에 노출될 수 있습니다. 또한 Office 2013 클라이언트를 Microsoft 365에 연결하면 성능 또는 안정성 문제가 발생할 수 있습니다. 이에 개인 및 기업 사용자들은 지원이 종료되기 전에 상위 버전으로 업데이..

국내외 보안동향 2022. 4. 18. 13:06

Cisco vulnerability lets hackers craft their own login credentials Cisco가 WLC(Wireless LAN Controller) 소프트웨어에 영향을 미치는 치명적인 취약점인 CVE-2022-20695 (CVSS v3 10.0점)을 경고하는 보안 권고를 발표했습니다. 공격자는 이 보안 취약점을 악용하여 원격으로 유효한 비밀번호 없이도 관리 인터페이스를 통해 타깃 장치에 로그인할 수 있게 됩니다. 이 버그는 비밀번호 유효성 검사 알고리즘의 부적절한 구현으로 인해 발생하며, 디폴트 구성이 아닌 상태에서 표준 인증 절차를 우회할 수 있습니다. 이러한 경우 공격자는 조작된 크리덴셜을 통해 다양한 수준의 권한을 획득할 수 있으며, 잠재적으로 관리자 권한까지 얻..

국내외 보안동향 2022. 4. 18. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 업비트를 사칭하여 카카오톡 계정정보 유출을 시도하는 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다. 금일 발견된 이메일은 코인 거래소 업비트를 사칭하고 있으며, "귀하의 UPBIT 계정이 정지되었습니다."라는 제목으로 유포중에 있습니다. 하지만 이메일 내용을 보면 번역기를 돌린 것 같은 어색한 한국어로 작성되어 있어 조금만 주의 깊게 살펴보면 피싱 메일임을 확인할 수 있습니다. 만일 사용자가 실제 업비트에서 발송된 이메일로 오인하여 [계속하려면 여기를 클릭하십시오] 버튼을 누르면 실제 업비트 로그인 페이지와 매우 유사하게 제작된 피싱 페이지로 넘어가며 카카오톡 로그인을 유도합니다. 하지만, 해외 IP로 접근 시 실제 코빗 페이지로..

악성코드 분석 리포트 2022. 4. 15. 17:10