Hackers Stole $1.7 Million Worth of NFTs from Users of OpenSea Marketplace 한 공격자가 OpenSea NFT 시장의 스마트 계약 업그레이드 프로세스를 악용하여 사용자 17명에게 피싱 공격을 수행해 약 170만 달러 상당의 가상 자산을 훔친 것으로 나타났습니다. NFT(Non-Fungible Token)는 가격이 비싼 그림과 같은 수집품, 실제 상품 등 자산에 대한 정품 인증서와 같은 역할을 하며, 경우에 따라 소유권을 나타내기도 하는 디지털 토큰입니다. 공격자들은 기회를 노려 소셜 엔지니어링 기법을 사용하여 피해자에게 OpenSea 업그레이드에 대해 알리는 이메일을 보내 이들을 속이려 시도했습니다. 가짜 이메일은 피해자를 정식 사이트로 위장한 피..

국내외 보안동향 2022. 2. 23. 14:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 국내 외교 안보 국방분야 교수 및 민간분야 전문가를 겨냥한 북한 배후 소행의 해킹 공격 시도가 연일 포착되고 있어 사용자들의 각별한 주의가 필요합니다. 이번에 발견된 공격은 2월 21일 시도된 공격으로, 마치 한국의 군사연구 및 동북아 평화 협회처럼 위장해 해당 분야 종사자들에게 ‘[붙임] 프로필 양식.doc’ 이름의 악성 MS Word DOC 문서를 전달하였습니다. 이번 공격은 이메일로 보내는 전형적인 스피어 피싱(Spear Phishing) 수법이 사용됐으며, 보안 솔루션의 행위 분석이나 기존에 알려진 패턴 탐지를 최대한 회피하기 위해 악성 DOC 문서에 별도의 암호를 설정하고, 수신자만 열어볼 수 있도록 이메일로 전달하였습니다. 실제..

악성코드 분석 리포트 2022. 2. 23. 11:19

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 매그니베르 랜섬웨어가 과거 appx로 유포하는 방식에서 msi인자로 다시 유포중인 정황이 포착되어 사용자들의 주의가 필요합니다. 매그니베르 랜섬웨어는 사용자가 도메인 주소를 입력하다가 잘못 입력하거나 철자가 틀리는 타이포스쿼팅 방식을 이용하여 유포중입니다. 크롬 및 엣지 브라우저 사용자가 잘못된 도메인 주소를 입력하면, 다른 페이지로 리디렉션 시켜 최종 msi 파일을 내려줍니다 . 다만 ip체크를 통해 최초 1회만 다운로드 페이지에 접속되며, 또 다시 동일한 페이지에 접속 시 광고 페이지로 이동합니다. 특정 페이지에 접속하려는 사용자가 url을 잘못 입력하였을 때를 노린 것으로 추정되며, 'Critical.Update.Win10.0-kb8..

악성코드 분석 리포트 2022. 2. 23. 10:27

Chinese Hackers Target Taiwan's Financial Trading Sector with Supply Chain Attack 중국 정부의 지원을 받는 한 APT 그룹이 대만 금융 부문을 노린 조직적인 공급망 공격과 관련이 있는 것으로 나타났습니다. 해당 공격은 2021년 11월 말 처음 시작된 것으로 보이며, APT10 그룹의 작업으로 알려졌습니다. 해당 그룹은 Stone Panda, MenuPass, Bronze Riverside라고도 알려져 있으며 최소 2009년부터 활동한 것으로 알려졌습니다. 대만의 사이버 보안 회사인 CyCraft가 발행한 새로운 보고서에 따르면, 2차 공격은 2022년 2월 10일 ~ 13일 사이에 최고조에 달했습니다. 또한 이 광범위한 공급망 공격은 특히..

국내외 보안동향 2022. 2. 23. 09:00

Expeditors shuts down global operations after likely ransomware attack 시애틀에 기반을 둔 물류 및 화물 운송 회사인 Expeditors International이 주말 동안 사이버 공격을 받아 전 세계 지점 대부분의 운영을 중단한 것으로 나타났습니다. 연간 총 수익이 약 100억 달러인 Expeditors는 전 세계에 지점 350곳과 직원 18,000명 이상이 있으며, 고객에게 중요한 물류 솔루션을 제공합니다. 해당 서비스에는 공급망, 창고 및 유통, 운송, 세관, 규정 준수가 포함됩니다. 이 회사는 어떤 사이버 공격을 받았는지는 언급하지 않았지만, 회사의 설명 및 BleepingComputer에서 받은 익명 제보를 종합한 결과 대규모 랜섬웨어 사..

국내외 보안동향 2022. 2. 22. 14:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 02월 13일~02월 19일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 77건이고 그중 악성은 26건으로 33.77%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 55건 대비 26건으로 29건이 감소했습니다. 일일 유입량은 하루 최저 5건(악성 1건)에서 최대 16건(악성 8건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 26건 중 Attach-Malware형이 38.5%로 가장 많았고 뒤이어 Link-Malware형이 3..

악성코드 분석 리포트 2022. 2. 22. 09:30

New Android Banking Trojan Spreading via Google Play Store Targets Europeans 유럽 은행 56곳을 노리는 5만회 이상 설치된 새로운 안드로이드 뱅킹 트로이 목마가 공식 플레이 스토어를 통해 배포되어 기기에서 민감 정보를 수집하는 것으로 나타났습니다. 네덜란드 보안 회사인 ThreatFabric이 Xenomorph라 명명한 이 악성코드는 현재 개발 단계이며, Alien이라는 다른 뱅킹 트로이 목마와 유사한 부분이 있지만 기능은 근본적으로 다르다고 밝혔습니다. ThreatFabric의 설립자이자 CEO인 Han Sahin은 아래와 같이 설명했습니다. "Xenomorph는 현재 개발 중임에도 불구하고 이미 효과적인 오버레이를 자랑하며, 공식 앱 스토어..

국내외 보안동향 2022. 2. 22. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 LockBit 랜섬웨어를 유포하였던 비너스락커 조직이 다시 Makop 랜섬웨어를 유포하고 있어 사용자들의 주의가 필요합니다. Makop 랜섬웨어는 금일 12시경부터 '이미지 원본(제가 제작한 이미지)과 사용하고 있으신 이미지 정리한 내용' 파일명으로 대량 유포중에 있습니다. 악성파일은 PDF 아이콘을 위장하여 사용자들의 클릭을 유도합니다. 랜섬웨어가 실행된 후에는, 사용자로 하여금 복구를 할 수 없도록 볼륨 섀도복사본과 시스템 백업까지 삭제합니다. 이후 사용자 파일에 대해 암호화를 진행 후 '기존 파일명.[CD59D479].[].mkp'으로 변경하고, +README-WARNING+.txt 랜섬노트를 띄우며 tox chat을 통해 연락..

악성코드 분석 리포트 2022. 2. 21. 15:04