Hackers Begin Weaponizing TCP Middlebox Reflection for Amplified DDoS Attacks ‘TCP 미들박스 반사(TCP Middlebox Reflection)’라는 새로운 증폭 기술을 활용하는 DDoS 공격이 발견되었습니다. 이 공격은 새로운 공격 메커니즘에 대한 이론이 나온지 6개월 만에 처음으로 탐지되었습니다. Akamai 연구원들은 지난 화요일 보고서를 발표해 아래와 같이 밝혔습니다. "이 공격은 취약한 방화벽과 콘텐츠 필터링 시스템을 악용해 피해자 시스템에 대한 TCP 트래픽을 반사 및 증폭시켜 강력한 DDoS 공격을 생성해 냅니다." "이러한 공격 유형은 DDoS 공격의 난이도를 위험할 정도로 낮춥니다. 공격자는 경우에 따라 1/75만큼 적은 대..

국내외 보안동향 2022. 3. 3. 09:00

TrickBot Malware Gang Upgrades its AnchorDNS Backdoor to AnchorMail TrickBot 인프라는 운영을 중단했지만, 해당 악성코드의 운영자는 Conti 랜섬웨어의 배포로 이어지는 공격을 수행하기 위해 그들의 무기고를 계속해서 재정비하고 있는 것으로 나타났습니다. IBM Security X-Force는 해당 조직의 AnchorDNS 백도어의 개선된 버전을 발견해 AnchorMail이라 명명했습니다. IBM의 악성코드 리버스 엔지니어인 Charlotte Hammond는 아래와 같이 밝혔습니다. “AnchorMail은 TLS를 통해 SMTP 및 IMAP 프로토콜을 사용하여 통신하는 이메일 기반 명령 및 제어 서버를 사용합니다." "변경된 C2 통신 메커니즘을 ..

국내외 보안동향 2022. 3. 2. 14:00

TeaBot malware slips back into Google Play Store to target US users TeaBot 뱅킹 트로이 목마가 또 다시 구글 플레이 스토어에서 발견되었습니다. 이는 QR 코드 앱으로 위장해 이미 기기 1만대 이상을 감염시킨 것으로 나타났습니다. 제작자들은 이미 지난 1월 이러한 전략을 사용한 전적이 있으며, 구글은 이를 퇴출시켰지만 악성코드 제작자는 또 다시 안드로이드 공식 앱 스토어에 침투할 방법을 찾은 것으로 보입니다. 온라인 사기 관리 및 예방 회사인 Cleafy에서 발행한 보고서에 따르면, 해당 애플리케이션은 드롭퍼의 역할을 합니다. 앱 자체에는 악성코드가 없으며 최소한의 권한을 요청하기 때문에 구글에서 이상한 점을 발견하기 어려웠던 것으로 보입니다. 또..

국내외 보안동향 2022. 3. 2. 09:00

Chipmaker giant Nvidia hit by a ransomware attack 칩 제조 대기업인 Nvidia가 랜섬웨어 공격을 받아 지난 며칠 동안 일부 시스템이 영향을 받았습니다. 이 사건과 관련된 한 관계자는 해당 사고에 대해 현재 진행 중인 우크라이나 전쟁과 관련이 없다고 밝혔습니다. 이 사고로 인해 회사의 개발자 툴 및 이메일 시스템 또한 영향을 받았지만, 비즈니스 및 상업 활동에는 아무런 영향이 없었습니다. Nvidia는 성명을 발표해 아래와 같이 밝혔습니다. “당사의 비즈니스 및 상업 활동은 중단 없이 계속되고 있습니다.” “해당 사고의 성격 및 범위를 평가하기 위해 노력하고 있으며, 아직까지는 추가 정보를 공유할 수 없습니다.” 회사는 사고의 범위를 확인하기 위해 사건을 조사하고 ..

국내외 보안동향 2022. 2. 28. 14:00

Fileless SockDetour backdoor targets U.S.-based defense contractors Palo Alto Networks의 Unit 42 사이버 보안 연구원들이 미국에 기반을 둔 방위 산업체를 노리는 새로운 커스텀 백도어인 SockDetour를 발견해 분석했습니다. 전문가에 따르면, SockDetour 백도어는 적어도 2019년 7월부터 실제 공격에서 사용되었습니다. Unit 42는 이 악성코드가 TiltedTemple(DEV-0322라고도 알려짐)이라는 APT 캠페인의 작업으로 추측하고 있으며, 공격자는 Zoho ManageEngine ADSelfService Plus 취약점(CVE-2021-40539) 및 ServiceDesk Plus 취약점(CVE-2021-4407..

국내외 보안동향 2022. 2. 28. 09:00

[2월 네 번째 주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No. 문자내용 1 [국외발신][주문하신 결제금액] KRW 973,200 본인주문 상품 아닐시 서비스센터 053-xxx-xxxx 2 [국제발신] OOO님 KRW 969,000 결제완료 확인코드:9128 배송조회 고객센터1533-xxxx 3 [국외발신] [이베이] 해외구매 969,000원완료 승인번호:5623 본인아닐 경우 고객센터문의: 031-xxx-xxxx 4 [Web발신][교통민원24]교통법규위반행위 벌점 6점 처벌 고지서 발송완료 hxxp://xxx.xxxxx[.]kr 5 [Web발..

안전한 PC&모바일 세상/스미싱 알림 2022. 2. 25. 16:59

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 저작권 침해 관련 메일을 통해 악성코드가 유포되고 있어 사용자들의 주의가 필요합니다. 이메일은 '저작권 침해 관련 안내(제자 제작자 입니다)'라는 제목으로 유포되고 있으며, 보안 프로그램을 우회하기 위하여 비밀번호가 설정 된 압축파일이 첨부되어 있습니다. 압축 파일 내에는 한글 아이콘을 위장한 실행파일과 이미지 파일이 포함되어 있습니다. 다만, 현재 이메일을 통해 유포되고 있는 파일들 중 일부에서 오류가 발생하여 제작자가 의도한 대로 동작을 하지 않고 있습니다. 이에 사용자가 해당 파일을 실행하여도 사용자 PC가 감염되지 않습니다. 만일 오류가 없는 파일을 사용자가 실행하면, LockBit 랜섬웨어가 실행되며 사용자 PC가 감염되며, 분석..

악성코드 분석 리포트 2022. 2. 25. 15:24

Microsoft Exchange servers hacked to deploy Cuba ransomware Cuba 랜섬웨어가 마이크로소프트 익스체인지의 취약점을 악용하여 기업 네트워크에 대한 초기 액세스 권한을 얻어 기기를 암호화하는 것으로 나타났습니다. 사이버 보안 회사인 Mandiant는 해당 랜섬웨어 그룹 UNC2596으로, 랜섬웨어 악성코드를 COLDDRAW라 명명했습니다. 하지만 해당 랜섬웨어는 ‘Cuba’라는 이름으로 더 잘 알려져 있습니다. Cuba는 2019년 말 활동을 시작한 랜섬웨어로, 시작은 느리지만 2020년과 2021년에 속도를 올리기 시작했습니다. 활동이 증가한 이후 FBI는 2021년 12월 Cuba 랜섬웨어가 미국의 핵심 인프라 49곳에 침입했다고 주의보를 발행했습니다. M..

국내외 보안동향 2022. 2. 25. 14:00