안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 대한임상건강증진학회의 코로나19 백신 알림으로 위장한 北 연계 해킹 공격이 발견되어 사용자들의 각별한 주의가 필요합니다. 이번 공격은 마치 대한임상건강증진학회가 공식적으로 보낸 최신 코로나19 백신 알림 내용처럼 위장한 것이 특징이며, 대부분 대북 분야 종사자가 위협 대상에 포함된 것으로 확인되었습니다. 실제 공격 이메일은 ‘’ 주소로 표기돼 있는데, 분석결과 ‘대한임상건강증진학회’ 실제 주소처럼 보이도록 발신지가 정교하게 조작된 것으로 확인되었습니다. ESRC의 분석 결과, 피싱 공격에 사용된 이메일 헤더 내부에서 ‘openChecker.jsp’ 코드가 발견됐는데, 이는 지난 25일 ‘SRT 서대구역 신규정차 운행 및 예매 개시 알림’ 메일의..

악성코드 분석 리포트 2022. 4. 1. 10:27

Zyxel patches critical bug affecting firewall and VPN devices 네트워크 장비 회사인 Zyxel은 공격자가 취약한 기기에서 관리자 수준의 접근을 허용할 수 있는 심각한 취약점을 해결하기 위해 여러 비즈니스 등급 방화벽 및 VPN 제품 펌웨어를 업데이트했습니다. Zyxel은 보안 권고를 통해 USG/ZyWALL, USG FLEX, ATP, VPN, NSG(Nebula Security Gateway) 시리즈 제품이 영향을 받았다고 밝혔습니다. 취약한 방화벽 및 VPN 취약점은 CVE-2022-0342로 등록되었으며, 공격자가 인증 없이 악용이 가능하고 장치에 대한 관리자 접근 권한을 얻을 수 있어 매우 심각합니다. NIST(National Institute of..

국내외 보안동향 2022. 4. 1. 09:00

Asterisk PBX 툴킷에서 사용하는 유비쿼터스 오픈 소스 PJSIP 멀티미디어 통신 라이브러리에서 취약점(CVE-2021-43299, CVE-2021-43300, CVE-2021-43301, CVE-2021-43302, CVE-2021-43303 )이 발견되었습니다. PJSIP란 표준 프로토콜인 SIP, SDP, RTP, STUN, TURN 및 ICE를 구현한 멀티미디어 통신라이브러리입니다. JFrog Security는 PJSIP에 존재하는 5가지 메모리 손상 취약점을 공개했습니다. 공격자가 해당 취약점을 악용하면 PJSIP라이브러리를 사용하는 애플리케이션에서 원격코드실행 스위치를 켤 수 있습니다. 공개된 5가지 메모리 손상 취약점은 다음과 같습니다. CVE-2021-43299 - 스택오버플로우 취..

국내외 보안동향 2022. 3. 31. 15:11

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2월의 주요 스미싱 공격은 택배를 키워드로 하는 스미싱이 주도하고 있습니다. 택배를 키워드로 하는 스미싱 공격은 74.78%로 1월 대비 4.69% 정도 감소했습니다. 뒤를 이어 건강검진을 키워드로 하는 스미싱 공격이 13.57%를 차지하고 있으며 1월 대비 4.97% 감소했습니다. 이들 주요 스미싱 공격들이 소폭 감소한 대신 다른 스미싱 공격들이 증가 추세를 보이고 있습니다. 보이스피싱을 유도하는 내용의 스미싱 공격이 6.61%, 수사기관을 사칭하는 스미싱 공격은 4%, 마지막으로 공공기관을 사칭하는 스미싱 공격이 1.04%를 차지하고 있습니다. 위의 통계를 통해 택배 스미싱은 여전히 공격자들이 선호하는 키워드 임을 알 수 있으나 다른 ..

악성코드 분석 리포트 2022. 3. 31. 15:06

Hive ransomware uses new 'IPfuscation' trick to hide payload 연구원들이 Hive 랜섬웨어가 IPv4 주소와 Cobalt Strike 비컨 다운로드로 이어지는 변환을 포함한 새로운 난독화 기술을 사용한다는 것을 발견했습니다. 코드 난독화는 공격자가 탐지를 피하기 위해 인간 또는 보안 소프트웨어가 코드의 악의적인 특성을 발견할 수 없도록 돕습니다. 난독화에는 장단점이 다른 여러 방법이 있지만, Hive 랜섬웨어 관련 사고를 대응한 결과 이들이 새롭고 은밀한 방법을 찾고 있음을 알 수 있었습니다. Sentinel Labs의 연구원들은 새로운 난독화 기술인 "IPfuscation"에 대한 보고를 공개했습니다. 이는 간단하지만 똑똑한 방법이 실제 악성코드를 배포하는..

국내외 보안동향 2022. 3. 31. 14:00

Spring Cloud Function 3.1.6, 3.2.2 및 더 오래된 지원되지 않는 버전에서 라우팅 기능을 사용할 때, 라우팅 표현식으로 특수하게 조작된 SpEL을 통하여 사용자의 로컬 리소스에 접근을 허용합니다. 영향받는 버전 Spring Cloud Function 3.1.6, 3.2.2 및 더 오래된 버전 취약점 패치 방법 Spring Cloud Function 3.1.7, 3.2.3 버전으로 업데이트 출처 : https://tanzu.vmware.com/security/cve-2022-22963 https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

국내외 보안동향 2022. 3. 31. 09:57

New Spring Java framework zero-day allows remote code execution Spring Core Java 프레임워크의 새로운 제로데이 취약점인 'Spring4Shell'이 공개되었습니다. 해당 취약점은 애플리케이션에서 인증되지 않은 원격 코드 실행을 허용하는 것으로 나타났습니다. Spring은 소프트웨어 개발자가 엔터프라이즈 수준의 기능으로 Java 애플리케이션을 빠르고 쉽게 개발할 수 있도록 하는 인기 높은 애플리케이션 프레임워크입니다. 이후 이러한 애플리케이션을 Apache Tomcat과 같은 서버에 필요한 모든 종속성이 있는 독립 실행형 패키지로써 배포할 수 있습니다. 3월 29일, CVE-2022-22963으로 등록된 새로운 Spring Cloud Funct..

국내외 보안동향 2022. 3. 31. 08:19

Spring Core Java 프레임워크에서 원격코드실행이 가능한 제로데이 취약점(CVE-2022-22965)이 발견되었습니다. 해당 취약점은 Spring4Shell 취약점이라고도 불립니다. Spring 프레임워크의 JDK9버전(및 그 상위버전)중, 특정 조건을 만족하는 상황에서 원격공격자가 프레임워크의 매개변수 바인딩 기능을 통하여 AccessLogValve객체 및 악성필드값들을 획득할 수 있으며, 이를 통하여 pipeline매커니즘을 트리거하여 임의경로하위에 파일쓰기가 가능하게 됩니다. 현재까지 확인된 해당 취약점을 유발하기 위한 조건은 다음과 같습니다. - JDK 버전 9 이상 - 애플리케이션 제공을 위한 Apache Tomcat - Spring Framework 5.3.0 ~ 5.3.17 및 5...

국내외 보안동향 2022. 3. 31. 08:11