New Backdoor Targets French Entities via Open-Source Package Installer 연구원들이 Chocolatey Windows 패키지 관리자를 통해 해킹된 시스템에 Serpent라는 백도어를 확산시키는 새로운 타깃형 이메일 공격 캠페인에 대해 공개했습니다. 이들은 건설, 부동산, 정부 부문의 프랑스 기업을 주로 노렸습니다. 보안 회사인 Proofpoint는 발견된 전략과 피해 패턴을 기반으로 이 공격을 지능형 공격자의 작업으로 추측했습니다. 현재로써는 캠페인의 최종 목표는 알 수 없습니다. Proofpoint 연구원들은 The Hacker News에 공유한 보고서에서 아래와 같이 밝혔습니다. "공격자는 잠재적 피해자의 기기에 백도어를 설치하려 시도했으며 이는 ..

국내외 보안동향 2022. 3. 22. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 구글 플레이 스토어를 통해 유포되는 악성 앱들이 꾸준히 발견되고 있습니다. 최근에는 구글 플레이 스토어를 통해 ‘Xenomorph”라 불리는 악성 앱이 유포되었습니다. 이 악성 앱은 피해자의 뱅킹 정보 탈취를 목적으로 제작되었습니다. 타겟은 유럽의 은행들을 이용하는 스마트폰 사용자들이며 뱅킹 정보를 탈취한 후 금전 획득을 위해 탈취한 정보를 활용합니다. Trojan.Android.Banker 공격은 금전 갈취가 주요 목적입니다. 이 악성 앱은 다른 악성 앱의 유포 방법은 공식 스토어인 구글 플레이 스토어를 통해 이루어지기에 피해자가 공격을 인지하기 더욱 어렵습니다. 그리고 공식 스토어를 통한 설치이기에 OS에서 제공하는 프로텍트 서비스도 ..

악성코드 분석 리포트 2022. 3. 22. 09:00

Hackers Target Bank Networks with new Rootkit to Steal Money from ATM Machines 금전적 이득을 노리는 공격자가 이전에 알려지지 않은 Oracle Solaris 시스템을 노리는 새로운 루트킷을 배포하고 있는 것이 발견되었습니다. 이들의 목적은 ATM의 스위칭 네트워크를 해킹해 사기 카드를 사용하여 여러 은행에서 무단으로 현금을 인출하는 것이었습니다. 보안 사고 대응 회사인 Mandiant는 해당 클러스터를 UNC2891로 추적하고 있으며 해당 그룹의 전술, 기술, 절차 중 일부분은 다른 클러스터인 UNC1945와 중복됩니다. Mandiant의 연구원들은 이번 주 발표한 새로운 보고서에서 "높은 수준의 OPSEC을 포함하고, 증거를 없애고 대응하려..

국내외 보안동향 2022. 3. 21. 14:00

Free decryptor released for TrickBot gang's Diavol ransomware 사이버 보안 회사인 Emsisoft에서 Diavol 랜섬웨어에 피해를 입은 사용자가 돈을 지불하지 않아도 파일을 복구할 수 있도록 무료 복호화 툴을 공개했습니다. Diavol 랜섬웨어의 피해자는 Emsisoft의 서버에서 무료 툴을 다운로드 후 사용 가이드[PDF]를 참고하여 데이터를 복호화할 수 있습니다. Emsisoft는 아래와 같이 설명했습니다. "복호화 툴은 암호화된 파일 하나와 원본 파일 한 쌍이 필요합니다. 이를 통해 나머지 데이터를 복호화할 수 있는 암호화 키를 재구성해냅니다.” "복호화 툴은 복호화할 파일의 위치를 디폴트로 현재 연결된 드라이브 및 네트워크 드라이브로 설정합니다.”..

국내외 보안동향 2022. 3. 21. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. Trojan.JAVA.Agent.Gen (이하 ‘STRRAT’)는 지난 2020년에 공개된 Java 언어 기반의 명령 제어 악성코드이며, 최근까지 이메일 등으로 유포가 이루어지고 있는 것으로 알려져있습니다. 특징적으로 이 STRRAT는 브라우저 크리덴셜 정보 유출 등의 일반적인 RAT 기능과 더불어 ‘Crimson’이라고 불리우는 랜섬웨어 기능이 함께 포함되어 있는 점이 특징입니다. ‘STRRAT’ 악성코드는 정보 전송 및 명령 제어 기능을 수행하는 Java 기반의 RAT입니다. 특징적으로 이 악성코드는 다른 명령 제어 악성코드와 달리 랜섬웨어 기능이 탑재되어 있는 점, EXE 기반 대신 Java 파일(*.jar) 혹은 스크립트를 실행하는..

악성코드 분석 리포트 2022. 3. 21. 09:00

[3월 세 번째 주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No. 문자내용 1 [국제발신][IB몰] 해외체크 OOO님 876,000원 결제완료 본인사용아닐시문의전화050xxxxxxxx 2 [국외발신] OOO님 승인안내:969,000원 결제완료.(본인아닐시 소비자원 050-xxxx-xxxx으로 신고바랍니다.) 3 [Web발신]고객님의 택배가 오늘 배송될 예정입니다 hxxp://xxxxxx.xxxxx[.]com\">hxxp://xxxxxx.xxxxx[.]com 4 배송불가&l도로명불일치&g앱 다운로드 주소지확인 부탁드립니다 xxxx.xxxxx[.]c..

안전한 PC&모바일 세상/스미싱 알림 2022. 3. 18. 17:13

최근 러시아를 타겟으로 하는 랜섬웨어 샘플이 발견되었습니다. 흥미로운 것은, 해당 랜섬웨어는 일반 랜섬웨어와 다르게 랜섬머니를 요구하지 않는 대신 전쟁을 멈추라는 메세지를 띄웁니다. 랜섬웨어는 사용자 PC에서 실행된 후, 사용자 PC에서 실행되고 있는 프로세스를 나열하고, 실행중인 프로세스를 종료합니다. 또한 뮤텍스를 생성한 후 감염된 시스템의 볼륨을 식별하여 암호화를 시작합니다. CD-ROM을 제외하고 식별된 모든 드라이브에 파일들을 암호화 합니다. 암호화 후 확장자를 ".putinwillburnunhell" 로 변경한 후 "RUSSKIJ VOENNIJ KORABL IDI NAHUJ"라는 .html 파일을 띄웁니다. 해당 문구를 번역하면 "RUSSIAN WARSHIP GO F**K"이라는 뜻입니다. 현..

국내외 보안동향 2022. 3. 18. 16:53

CRI-O에서 cr8escape 취약점(CVE-2022-0811)이 발견되었습니다. CRI-O란 레드햇이 개발한 Kubernetes용 Open Container Initiative (OCI) 컨테이너 런타임으로, Docker, Moby 혹은 rkt를 대체할 수 있습니다. 해당 취약점은 CRI-O가 포드에 대한 커널 옵션을 설정하는 방식에 존재하며, 해당 취약점을 악용하면 권한이 있는 사람이 CRI-O 런타임을 사용하는 Kubernetes 클러스터에 포드를 배포하여 악성 포드가 배포된 클러스터 노드에서 루트로 컨테이너 탈출 및 임의 코드 실행이 가능하게 됩니다. 영향받는 버전 CRI-O 1.19.0 이상 버전 패치방법 최신 버전으로 업데이트 참고 : https://access.redhat.com/secur..

국내외 보안동향 2022. 3. 18. 14:51