REvil ransomware returns: New malware sample confirms gang is back 러시아와 미국 사이의 긴장이 고조되고 있는 가운데, 악명 높은 REvil 랜섬웨어가 다시 활동을 재개했습니다. 새로운 버전은 새로운 인프라와 개선된 암호화기를 통해 표적화된 공격이 가능해졌습니다. 지난 10월 법 집행 기관이 REvil 랜섬웨어의 Tor 서버를 압수한 후 러시아의 법 집행 기관이 그룹의 멤버를 체포하여 활동을 중단했습니다. 하지만, 러시아는 우크라이나 침공 이후 미국이 REvil 그룹에 대한 협상 과정을 포기하고 관련된 통신 채널을 폐쇄했다고 밝힌 바 있습니다. 다시 살아난 REvil의 Tor 사이트 이후 얼마 지나지 않아, 기존 REvil의 Tor 인프라가 다시 작동하..

국내외 보안동향 2022. 5. 2. 09:00

[4월 다섯 번째 주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No. 문자내용 1 [국제발신][PAY쇼핑] 해외직구 1,047,420원 구매완료 승인번호:5623 본인아닐 경우 고객센터문의:02-xxxx-xxxx 2 [국외발신]-물류안내- 승인코드:[96**] 금액:985,000원 본인 아닐경우 문의바람:02-xxxx-xxxx 3 한진 택배 .주.소.지불일치로 인하여도.착예정인상.품을 보 관중입니다. 위치확인. hxxps://xx.xxxx[.]top/ 4 [Web발신] 배송불가&l도로명불일치&g앱 다운로드 주소지확인 부탁드립니다 hxxp://xxx..

안전한 PC&모바일 세상/스미싱 알림 2022. 4. 29. 17:37

New RIG Exploit Kit Campaign Infecting Victims' PCs with RedLine Stealer 익스플로잇 킷을 활용하는 새로운 캠페인이 작년에 마이크로소프트가 패치한 RedLine Stealer 트로이 목마를 전달하는데 사용된 IE의 취약점을 악용하는 것으로 나타났습니다. Bitdefender에서는 보고서를 통해 아래와 같이 밝혔습니다. "RedLine 스틸러가 실행되면 타깃 시스템에 대한 정찰(사용자 이름, 하드웨어, 설치된 브라우저, 바이러스 백신 소프트웨어 등)을 수행한 다음 데이터(암호, 저장된 신용 카드, 암호화 지갑, VPN 로그인 등)를 원격 C2 서버로 전송합니다.” 대부분의 감염은 브라질과 독일에서 발생했으며 미국, 이집트, 캐나다, 중국, 폴란드 등이..

국내외 보안동향 2022. 4. 29. 14:00

Bumblebee, a new malware loader used by multiple crimeware threat actors 예전에 BazaLoader와 IcedID를 사용했던 공격자들이 새로운 로더인 Bumblebee를 사용하기 시작한 것으로 나타났습니다. 이 로더는 현재 개발 단계인 것으로 보이며, 2022년 3월 처음으로 등장한 고도로 정교한 악성코드입니다. Proofpoint의 연구원은 Bumblebee와 관련된 클러스터 최소 3개를 추적했습니다. 해당 캠페인은 지난 3월 Google Threat Analysis Group에서 자세히 설명한 Conti와 Diavol 랜섬웨어를 배포하는 캠페인과 겹치는 부분이 있었습니다. Bumblebee는 가상화 방지 검사 및 일반적인 다운로더 기능을 고유하..

국내외 보안동향 2022. 4. 29. 09:00

PSA: Onyx ransomware destroys large files instead of encrypting them MalwareHunterTeam은 최근 Onyx라는 새로운 랜섬웨어를 발견하였습니다. Onyx 랜섬웨어 공격자는 다른 랜섬웨어와 마찬가지로 파일 암호화 전 네트워크에서 데이터를 훔칩니다. 그 후, 랜섬머니를 지불하지 않으면 데이터를 공개하겠다고 협박합니다. 데이터 유출 사이트에는 현재까지 6명의 희생자가 공개되었습니다. 하지만 Onyx는 200MB미만의 파일만 암호화 하고, 200MB보다 큰 파일의 경우 임의의 데이터로 덮어씁니다. 이는 무작위로 생성된 데이터를 이용하여 덮어쓰기 때문에, 200MB를 초과하는 파일의 경우 복호화 할 수 있는 방법이 없습니다. 즉, 피해자가 랜섬머니를..

국내외 보안동향 2022. 4. 28. 15:50

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 3월의 주요 스미싱 공격은 여전히 택배를 키워드로 하는 스미싱이 주도하고 있습니다. 택배를 키워드로 하는 스미싱 공격은 94.8%로 2월 대비 20.02% 증가했습니다. 뒤를 이어 건강검진을 키워드로 하는 스미싱 공격이 3.01%를 차지하고 있으며 2월 대비 10.56% 감소했습니다. 보이스피싱을 유도하는 내용의 스미싱 공격이 1.62%를 차지하고 있으며 2월 대비 4.99% 감소했으며, 수사기관을 사칭하는 스미싱 공격은 0.47% 2월 대비 3.53% 감소하고 있습니다. 위 통계를 살펴보면 택배 키워드는 여전히 공격자들에게 매력적인 키워드 임을 알 수 있습니다. 다른 유형의 키워드를 활용하는 스미싱들은 감소세에 있음을 알 수 있습니다. ..

악성코드 분석 리포트 2022. 4. 28. 15:47

Conti ransomware operations surge despite the recent leak Secureworks의 연구원들이 러시아에 기반을 둔 공격자인 Gold Ulrick으로 추적되는 Conti 랜섬웨어 그룹이 최근 내부 활동에 대한 데이터가 유출되었음에도 불구하고 여전히 계속해서 활동하고 있다고 밝혔습니다. 이 그룹의 활동은 2021년 정점을 찍었던 수준으로 되돌아갔습니다. 해당 그룹은 이들의 통신, 소스코드, 운영 세부 정보가 공개된 것에 대해 신속히 대응했습니다. Secureworks Conter Threat Unit(CTU)에서는 아래와 같이 밝혔습니다. "2022년 2월 Conti의 누출 사이트에 등록된 피해자의 수가 증가했습니다. 2월 27일, 트위터 계정 @ContiLeaks..

국내외 보안동향 2022. 4. 28. 14:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 스미싱 공격이 꾸준히 진행되고 그 형태도 고도화되고 다양해 지고 있어, 많은 사용자들의 피해가 지속되고 있습니다. 스미싱 공격에 당했을 경우, 가장 효과적인 방법은 휴대폰 공장 초기화 입니다. 공장 초기화를 진행하면 휴대폰에 설치된 악성 앱이 모두 삭제되기 때문에 더 이상 걱정하실 필요는 없습니다. 하지만 경우에 따라 휴대폰 공장 초기화가 불가한 경우도 있습니다. 이에 ESRC에서는 최근 유포되고 있는 스미싱 문자의 유형을 정리하고, 악성앱 설치하였을 경우 대처 방안에 대해 알려드리고자 합니다. 스미싱 유형 1) 무단 결제 위장 스미싱 무단 결제가 되었다는 내용으로 사용자를 속여 고객센터로 전화를 하도록 유도하는 스미싱 입니다. 만일 사용..

전문가 기고 2022. 4. 28. 13:22