Fileless SockDetour backdoor targets U.S.-based defense contractors Palo Alto Networks의 Unit 42 사이버 보안 연구원들이 미국에 기반을 둔 방위 산업체를 노리는 새로운 커스텀 백도어인 SockDetour를 발견해 분석했습니다. 전문가에 따르면, SockDetour 백도어는 적어도 2019년 7월부터 실제 공격에서 사용되었습니다. Unit 42는 이 악성코드가 TiltedTemple(DEV-0322라고도 알려짐)이라는 APT 캠페인의 작업으로 추측하고 있으며, 공격자는 Zoho ManageEngine ADSelfService Plus 취약점(CVE-2021-40539) 및 ServiceDesk Plus 취약점(CVE-2021-4407..

국내외 보안동향 2022. 2. 28. 09:00

[2월 네 번째 주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No. 문자내용 1 [국외발신][주문하신 결제금액] KRW 973,200 본인주문 상품 아닐시 서비스센터 053-xxx-xxxx 2 [국제발신] OOO님 KRW 969,000 결제완료 확인코드:9128 배송조회 고객센터1533-xxxx 3 [국외발신] [이베이] 해외구매 969,000원완료 승인번호:5623 본인아닐 경우 고객센터문의: 031-xxx-xxxx 4 [Web발신][교통민원24]교통법규위반행위 벌점 6점 처벌 고지서 발송완료 hxxp://xxx.xxxxx[.]kr 5 [Web발..

안전한 PC&모바일 세상/스미싱 알림 2022. 2. 25. 16:59

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 저작권 침해 관련 메일을 통해 악성코드가 유포되고 있어 사용자들의 주의가 필요합니다. 이메일은 '저작권 침해 관련 안내(제자 제작자 입니다)'라는 제목으로 유포되고 있으며, 보안 프로그램을 우회하기 위하여 비밀번호가 설정 된 압축파일이 첨부되어 있습니다. 압축 파일 내에는 한글 아이콘을 위장한 실행파일과 이미지 파일이 포함되어 있습니다. 다만, 현재 이메일을 통해 유포되고 있는 파일들 중 일부에서 오류가 발생하여 제작자가 의도한 대로 동작을 하지 않고 있습니다. 이에 사용자가 해당 파일을 실행하여도 사용자 PC가 감염되지 않습니다. 만일 오류가 없는 파일을 사용자가 실행하면, LockBit 랜섬웨어가 실행되며 사용자 PC가 감염되며, 분석..

악성코드 분석 리포트 2022. 2. 25. 15:24

Microsoft Exchange servers hacked to deploy Cuba ransomware Cuba 랜섬웨어가 마이크로소프트 익스체인지의 취약점을 악용하여 기업 네트워크에 대한 초기 액세스 권한을 얻어 기기를 암호화하는 것으로 나타났습니다. 사이버 보안 회사인 Mandiant는 해당 랜섬웨어 그룹 UNC2596으로, 랜섬웨어 악성코드를 COLDDRAW라 명명했습니다. 하지만 해당 랜섬웨어는 ‘Cuba’라는 이름으로 더 잘 알려져 있습니다. Cuba는 2019년 말 활동을 시작한 랜섬웨어로, 시작은 느리지만 2020년과 2021년에 속도를 올리기 시작했습니다. 활동이 증가한 이후 FBI는 2021년 12월 Cuba 랜섬웨어가 미국의 핵심 인프라 49곳에 침입했다고 주의보를 발행했습니다. M..

국내외 보안동향 2022. 2. 25. 14:00

New data-wiping malware used in destructive attacks on Ukraine 사이버 보안 회사들이 우크라이나 네트워크를 노린 폭발적인 공격에 사용된 새로운 데이터 와이퍼 악성코드를 발견했습니다. 데이터 와이퍼는 데이터를 복구할 수 없도록 파괴시키고, 운영 체제가 올바르게 작동하지 않도록 기기의 데이터를 의도적으로 파괴하는 악성코드입니다. 금일 아침, 우크라이나 정부 기관과 은행이 DDoS 공격을 받아 웹사이트 운영이 중단되었습니다. 얼마 후 사이버 보안 회사인 Symantec과 ESET 또한 우크라이나 조직을 노린 사이버 공격에 사용된 새로운 데이터 와이퍼 악성코드를 발견했다고 밝혔습니다. Symantec의 기술 이사인 Vikram Thakur는 BleepingComp..

국내외 보안동향 2022. 2. 25. 13:00

Malware infiltrates Microsoft Store via clones of popular games Electron Bot이라는 악성코드가 인기 있는 게임인 Subway Surfer, Temple Run 등의 복사본에 숨어 마이크로소프트 공식 스토어에 침투해 스웨덴, 이스라엘, 스페인, 버뮤다의 컴퓨터 약 5,000대를 감염시켰습니다. 사이버 보안 회사인 Check Point가 발견 및 분석한 이 악성코드는 공격자가 해킹된 시스템을 완벽하게 제어할 수 있도록 하는 백도어로 원격 명령 실행, 실시간 상호 작용 등을 지원합니다. 공격자의 목표는 소셜 미디어 홍보 및 클릭 사기로 보입니다. Electron Bot은 이러한 목적을 위해 페이스북, 구글, 유튜브, 사운드 클라우드와 같은 SNS 플랫..

국내외 보안동향 2022. 2. 25. 09:00

Horde Webmail Software is affected by a dangerous bug since 2012 Horde Webmail에서 악용할 경우 첨부파일을 미리 보는 단순한 방법으로 이메일 계정에 대한 전체 접근 권한을 얻을 수 있는 취약점이 발견되었습니다. 해당 취약점은 9년 동안 패치되지 않은 것으로 드러났습니다. Horde Webmail은 Horde 프로젝트에서 개발한 무료 기업용 브라우저 기반 통신 제품입니다. 이 웹메일 솔루션은 대학 및 정부 기관에서 널리 사용되고 있습니다. Sonarsource는 보고서를 발행해 아래와 같이 밝혔습니다. "Horde에서 피해자가 무해해 보이는 이메일 첨부 파일의 미리보기를 로드할 경우, 공격자가 피해자의 이메일 계정 전체에 접근할 수 있는 권한을 ..

국내외 보안동향 2022. 2. 24. 14:00

DeadBolt ransomware now targets ASUSTOR devices, asks 50 BTC for master key DeadBolt 랜섬웨어가 ASUSTOR NAS 기기를 노려 파일을 암호화하고 랜섬머니로 1,150 달러 상당의 비트코인을 요구하고 있는 것으로 나타났습니다. 이 공격 웨이브는 Reddit과 BleepingComputer포럼에 처음으로 제보되었으며, 이후 ASUSTOR 포럼에도 제보되었습니다. DeadBolt 랜섬웨어가 지난 달 다른 NAS 기기를 노린 것과 유사하게, 공격자들은 제로데이 취약점을 사용하여 ASUSTOR NAS 기기를 암호화한다고 주장합니다. 해당 랜섬웨어는 ASUSTOR 기기의 파일을 암호화한 후 파일 이름에 .deadbolt 확장자를 붙입니다. ASU..

국내외 보안동향 2022. 2. 24. 09:00