안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. Trojan.JAVA.Agent.Gen (이하 ‘STRRAT’)는 지난 2020년에 공개된 Java 언어 기반의 명령 제어 악성코드이며, 최근까지 이메일 등으로 유포가 이루어지고 있는 것으로 알려져있습니다. 특징적으로 이 STRRAT는 브라우저 크리덴셜 정보 유출 등의 일반적인 RAT 기능과 더불어 ‘Crimson’이라고 불리우는 랜섬웨어 기능이 함께 포함되어 있는 점이 특징입니다. ‘STRRAT’ 악성코드는 정보 전송 및 명령 제어 기능을 수행하는 Java 기반의 RAT입니다. 특징적으로 이 악성코드는 다른 명령 제어 악성코드와 달리 랜섬웨어 기능이 탑재되어 있는 점, EXE 기반 대신 Java 파일(*.jar) 혹은 스크립트를 실행하는..

악성코드 분석 리포트 2022. 3. 21. 09:00

[3월 세 번째 주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No. 문자내용 1 [국제발신][IB몰] 해외체크 OOO님 876,000원 결제완료 본인사용아닐시문의전화050xxxxxxxx 2 [국외발신] OOO님 승인안내:969,000원 결제완료.(본인아닐시 소비자원 050-xxxx-xxxx으로 신고바랍니다.) 3 [Web발신]고객님의 택배가 오늘 배송될 예정입니다 hxxp://xxxxxx.xxxxx[.]com\">hxxp://xxxxxx.xxxxx[.]com 4 배송불가&l도로명불일치&g앱 다운로드 주소지확인 부탁드립니다 xxxx.xxxxx[.]c..

안전한 PC&모바일 세상/스미싱 알림 2022. 3. 18. 17:13

최근 러시아를 타겟으로 하는 랜섬웨어 샘플이 발견되었습니다. 흥미로운 것은, 해당 랜섬웨어는 일반 랜섬웨어와 다르게 랜섬머니를 요구하지 않는 대신 전쟁을 멈추라는 메세지를 띄웁니다. 랜섬웨어는 사용자 PC에서 실행된 후, 사용자 PC에서 실행되고 있는 프로세스를 나열하고, 실행중인 프로세스를 종료합니다. 또한 뮤텍스를 생성한 후 감염된 시스템의 볼륨을 식별하여 암호화를 시작합니다. CD-ROM을 제외하고 식별된 모든 드라이브에 파일들을 암호화 합니다. 암호화 후 확장자를 ".putinwillburnunhell" 로 변경한 후 "RUSSKIJ VOENNIJ KORABL IDI NAHUJ"라는 .html 파일을 띄웁니다. 해당 문구를 번역하면 "RUSSIAN WARSHIP GO F**K"이라는 뜻입니다. 현..

국내외 보안동향 2022. 3. 18. 16:53

CRI-O에서 cr8escape 취약점(CVE-2022-0811)이 발견되었습니다. CRI-O란 레드햇이 개발한 Kubernetes용 Open Container Initiative (OCI) 컨테이너 런타임으로, Docker, Moby 혹은 rkt를 대체할 수 있습니다. 해당 취약점은 CRI-O가 포드에 대한 커널 옵션을 설정하는 방식에 존재하며, 해당 취약점을 악용하면 권한이 있는 사람이 CRI-O 런타임을 사용하는 Kubernetes 클러스터에 포드를 배포하여 악성 포드가 배포된 클러스터 노드에서 루트로 컨테이너 탈출 및 임의 코드 실행이 가능하게 됩니다. 영향받는 버전 CRI-O 1.19.0 이상 버전 패치방법 최신 버전으로 업데이트 참고 : https://access.redhat.com/secur..

국내외 보안동향 2022. 3. 18. 14:51

Popular NPM Package Updated to Wipe Russia, Belarus Systems to Protest Ukraine Invasion 인기 있는 "node-ipc" NPM 패키지의 개발자가 러시아의 우크라이나 침공에 항의하기 위한 새 버전을 출시해 오픈 소스 및 소프트웨어 공급망의 보안과 관련된 우려를 불러일으켰습니다. 라이브러리 버전 10.1.1, 10.1.2에 영향을 미치는 이 새로운 변경은 유지 관리자인 RIAEvangelist가 사용자의 IP 주소가 러시아나 벨로루시 내에 있을 경우 임의 파일 내용을 삭제하고 이를 하트 이모티콘으로 교체합니다. Node-ipc는 리눅스, 맥OS, 윈도우를 지원하며 로컬 및 원격 프로세스 간 통신에 사용되는 노드 모듈입니다. 주간 다운로드 수..

국내외 보안동향 2022. 3. 18. 14:00

빔(Veeam) 백업 & 리케이션(Backup & Replication)에서 원격코드실행 취약점(CVE-2022-26500, CVE-2022-26501)들이 발견되었습니다. 해당 취약점들은 Veeam 배포 서비스(기본 설정 포트 TCP 9380)를 사용할 때, 인증되지 않은 사용자가 내부 API 기능에 접근이 가능한 취약점으로, 해당 취약점을 악용하여 원격 공격자가 내부 API에 입력을 통하여 악성코드를 업로드하고 실행할 수 있게 허용합니다. 영향받는 버전 Veeam Backup & Replication 9.5, 10, 11 버전 패치방법 Veeam Backup & Replication 11a(빌드 11.0.1.1261 P20220302) 버전으로 업데이트 Veeam Backup & Replication..

국내외 보안동향 2022. 3. 18. 10:37

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 통일부 남북관계 주요일지 2월호 내용처럼 위장한 北 연계 해킹 공격이 연이어 발견되고 있어 사용자들의 각별한 주의가 요구됩니다. 이번 공격은 마치 통일부에서 공식적으로 보낸 남북관계 주요일지처럼 교묘하게 위장하고 있으며, 대북분야전문가나 종사자의 이메일 계정정보 탈취를 목적으로 하고 있습니다. 실제 통일부 관련 화면 디자인을 일부 모방해 정상적인 내용처럼 꾸몄고, 본문 하단 부분에 ‘남북관계_주요일지(2022년 2월).hwp’ 파일을 첨부한 것처럼 속여 사용한 것이 특징입니다. ESRC 분석 결과, 이러한 수법은 이미 지난 2020년부터 작년까지 유사 사례가 다수 포착된 바 있으며, 주로 통일부의 북한동향이나 통일연구원의 한반도 정세전망 ..

악성코드 분석 리포트 2022. 3. 18. 09:15

DirtyMoe Botnet Gains New Exploits in Wormable Module to Spread Rapidly DirtyMoe 악성코드가 사용자와의 상호 작용 없이도 확산이 가능한 웜과 유사한 새로운 전파 기능을 추가했습니다. Avast 연구원인 Martin Chlumecký는 지난 수요일 보고서를 발표해 아래와 같이 밝혔습니다. "해당 웜 모듈은 EternalBlue, Hot Potato 윈도우 권한 상승과 같이 잘 알려진 오래된 취약점을 노립니다.” "웜 모듈 하나가 하루에 개인 및 공용 IP 주소 수십만 개를 생성해 공격할 수 있습니다. 아직까지 많은 시스템이 패치되지 않은 상태로 남아있거나 취약한 암호를 사용하기 때문에 많은 희생자가 위험에 노출되어 있습니다.” 2016년부터 활..

국내외 보안동향 2022. 3. 18. 09:00