안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 05월 01일~05월 07일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 48건이고 그중 악성은 13건으로 27.08%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 21건 대비 13건으로 8건이 감소했습니다. 일일 유입량은 하루 최저 1건(악성 1건)에서 최대 13건(악성 4건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 13건 중 Link-Malware형이 46.2%로 가장 많았고 뒤이어 Attach-Phishing형이 3..

악성코드 분석 리포트 2022. 5. 10. 09:30

Experts Sound Alarm on DCRat Backdoor Being Sold on Russian Hacking Forums 사이버 보안 연구원들이 전문 사이버 범죄 그룹과 초보자가 모두 이용할 수 있도록 저렴한 가격으로 판매되는 원격 액세스 트로이목마인 DCRat(DarkCrystal RAT)을 발견했습니다. BlackBerry 측은 보고서를 통해 아래와 같이 밝혔습니다. "커스텀 악성코드를 제작하는 자금이 넉넉한 규모가 큰 러시아 그룹과는 달리, 이 원격 액세스 트로이 목마(RAT)는 공격자의 단독 작업으로 보이며 적은 가격으로 백도어를 여는 놀랍도록 효과적인 툴을 제공합니다.” 코드네임 "boldenis44", "crystalcoder"가 .NET으로 작성한 DCRat은 DCRat Stud..

국내외 보안동향 2022. 5. 10. 09:00

F5 BIG-IP는 미국 F5 회사의 네트워크 트래픽 관리, 애플리케이션 보안 관리, 로드 밸런싱 및 기타 기능을 통합한 애플리케이션 딜리버리 플랫폼입니다. 해당 취약점은 iControl REST 인증 미흡으로 인해 발생하는 취약점으로, 해당 취약점을 악용하면 관리포트 및 또는 자체 IP 주소를 통해 BIG-IP 시스템에 대한 네트워크 엑세스 권한이 있는 인증되지 않은 공격자가 임의의 시스템 명령을 실행하거나 파일 생성 혹은 삭제하거나 서비스를 비활성화 할 수 있습니다. 취약점 번호 CVE-2022-1388 영향받는 버전 BIG-IP 16.1.0 – 16.1.2 BIG-IP 15.1.0 – 15.1.5 BIG-IP 14.1.0 – 14.1.4 BIG-IP 13.1.0 – 13.1.4 BIG-IP 12.1..

국내외 보안동향 2022. 5. 9. 16:12

This New Fileless Malware Hides Shellcode in Windows Event Logs 실제 공격에서 윈도우 이벤트 로그를 통해 셸 코드를 숨기는 사례가 처음으로 발견되었습니다. 카스퍼스키 연구원인 Denis Legezo는 기술 문서를 발표해 아래와 같이 밝혔습니다. "'파일이 없는' 마지막 단계의 트로이 목마가 파일 시스템에서 눈에 잘 띄지 않게 숨을 수 있습니다.” 아직까지 알려진 공격자와의 연결점이 발견되지 않은 이 은밀한 감염 프로세스는 2021년 9월 의도된 타깃이 Cobalt Strike 및 Silent Break가 포함된 압축 .RAR 파일을 다운로드하도록 속이는 방식으로 시작된 것으로 추측됩니다. 이후 공격자 시뮬레이션 소프트웨어 모듈을 통해 윈도우 시스템 프로세..

국내외 보안동향 2022. 5. 9. 14:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 북한이탈주민(탈북민) 자문위원들에게 의견을 수렴하는 내용처럼 위장한 HWP 악성 문서 기반 北 연계 해킹 공격이 발견되어 사용자들의 각별한 주의가 필요합니다. 이번 공격은 마치 북한이탈주민 자문위원을 대상으로 한 의견수렴 설문지처럼 위장한 것이 특징이며, 공격자는 HWP 한글 문서 내부에 OLE(개체 연결 삽입) 기능을 악용했습니다. 공격자는 수신자가 문서를 실행하면 ‘상위 버전에서 작성한 문서입니다.’ 등의 가짜 메세지 창을 띄워 사용자의 클릭을 유도하며 사용자가 확인 버튼을 누르면, HWP 파일 내 삽입되어 있는 OLE 기능을 통하여 배치(Bat) 파일과 파워셸(Powershell) 명령어를 통해 국내 특정 서버로 통신을 시도합니다. ..

악성코드 분석 리포트 2022. 5. 9. 11:44

Hackers Using PrivateLoader PPI Service to Distribute New NetDooka Malware PrivateLoader로 알려진 PPI(pay-per-install) 악성코드 서비스가 NetDooka라는 꽤 정교한 프레임워크를 배포해 공격자가 감염된 장치를 완전히 제어하도록 허용하는 것으로 나타났습니다. Trend Micro는 보고서를 발표해 아래와 같이 밝혔습니다. "프레임워크는 PPI(pay-per-install) 서비스를 통해 배포되며 로더, 드로퍼, 보호 드라이버, 자체 네트워크 통신 프로토콜을 구현한 완전한 기능을 갖춘 원격 액세스 트로이 목마(RAT) 등 여러 부분으로 이루어져 있습니다.” Intel 471이 2022년 2월 문서화한 PrivateLoad..

국내외 보안동향 2022. 5. 9. 09:00

[5월 첫 번째 주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No. 문자내용 1 [국외발신] OOO님 [아마존] 969,000원 정상 처리되었습니다.본인 아닐시 소비자원으로 문의. (050-xxxx-xxxx) 2 [국제발신] -거래내역- 금액 973,200원 인증번호 48** 확인완료 되었습니다 고객센터 050-xxxx-xxxx 3 [국민건강보험] 종합건강검진 결과표 전송완료. 내용확인[xxxx.xxxx[.]ink] 4 [Web발신]FW[*국민건강보험공단]건강검진 {통보서}발송완료.내용보기[xxxx.xxxx[.]shop] 5 한진택배★주★소지 불일..

안전한 PC&모바일 세상/스미싱 알림 2022. 5. 4. 15:33

Critical TLStorm 2.0 Bugs Affect Widely-Used Aruba and Avaya Network Switches 사이버 보안 연구원들이 Aruba 및 Avaya 네트워크 스위치의 여러 모델의 TLS 프로토콜 구현 과정에 존재하는 치명적인 보안 취약점 5가지에 대해 자세히 설명했습니다. 이 취약점은 기업 네트워크에 원격으로 접근하고 귀중한 정보를 훔치는 데 악용될 수 있습니다. 이는 지난 3월 APC Smart-UPS 장치 내 치명적인 취약점 3개로 이루어진 TLStorm이 공개된 이후 발견되었으며, 공격자가 악용할 경우 제어권을 탈취해 최악의 경우 장비를 물리적으로 손상시키는 것이 가능합니다. 이 취약점을 발견한 IoT 보안 회사인 Armis는 이 설계 취약점이 DigiCert..

국내외 보안동향 2022. 5. 4. 14:00