안녕하세요! 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2021년 4분기, 알약을 통해 총 163,229건의 랜섬웨어 행위기반 공격이 차단된 것으로 확인되었습니다. 이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약의 ‘랜섬웨어 행위기반 차단 기능’을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 탐지 건까지 포함한다면 전체 공격은 더욱 많을 것으로 예상됩니다. 4분기 알약을 통해 차단된 랜섬웨어의 공격은 총 163,229건으로, 일간 기준으로 환산하면 일 평균 약 1,813건의 랜섬웨어 공격이 차단된 것으로 볼 수 있습니다. 랜섬웨어의 공격 건수는 2021년도 3분기에 비해 약 2만 건 증가하였습니다. ESRC는 2021년 4분기 랜섬웨어 주요 동향을 다음과 같이 선정하였습니다. 1)..

전문가 기고 2022. 1. 12. 15:09

New KCodes NetUSB Bug Affect Millions of Routers from Different Vendors 사이버 보안 연구원들이 Netgear, TP-Link, Tenda, EDiMAX, D-Link, Western Digital 등 여러 업체의 최종 사용자용 라우터 기기 수백만 대에 사용되는 KCodes NetUSB 컴포넌트의 심각도 높은 취약점을 발견했습니다. KCodes NetUSB는 로컬 네트워크 내 기기가 IP를 통해 USB 기반 서비스를 제공할 수 있도록 하는 리눅스 커널 모듈입니다. 해당 드라이버를 사용하여 리눅스 기반 임베디드 시스템(예: 라우터)에 연결된 프린터, 외장 하드 드라이브, 플래시 드라이브를 네트워크를 통해 사용할 수 있습니다. SentinelOne이 공..

국내외 보안동향 2022. 1. 12. 14:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 해외 직구 쇼핑몰을 위장한 피싱 앱이 지속적으로 유포중에 있어 사용자들의 주의가 필요합니다. 해당 앱은 스미싱 문자를 통해 유포되는 것으로 추정되며, 이미 ESRC에서도 관련하여 포스팅 한 적이 있습니다. ▶ 해외결제를 위장한 스미싱 지속적 유포중! 이번에 발견된 앱들은 세계직구, 대성물류, LF몰 등 해외 직구앱을 위장하고 있습니다. 기존과 동일하게 모든 메뉴를 클릭하여도 로그인 페이지로 이동시켜 사용자로 하여금 계정 입력을 유도하며, 계정정보 입력 시 입력한 정보들은 공격자의 서버로 전송됩니다. 이전의 앱들과 달라진 점은, C2 방식이 기존의 Github에서 레딧 사이트로 변경되었으며, 레딧 사이트에서 공격자가 설정해 놓은 문자열을 파싱받아 오며, 문자..

악성코드 분석 리포트 2022. 1. 12. 13:51

New SysJocker backdoor targets Windows, macOS, and Linux 윈도우, 리눅스, 맥OS 모두에서 탐지를 회피할 수 있는 기능을 갖춘 새로운 다중 플랫폼 백도어 악성코드인 'SysJocker’가 발견되었습니다. 이는 Intezer의 연구원들이 2021년 12월 리눅스 기반 웹 서버에 대한 공격을 조사하던 중 처음으로 발견되었습니다. 해당 악성코드 샘플이 VirusTotal에 처음으로 업로드 된 시기는 2021년 상반기이며, 이는 C2 도메인 등록 시간과도 일치합니다. 보안 분석가들은 SysJoker에 대한 자세한 기술 보고서를 공개했습니다. 탐지를 피하는 조커 이 악성코드는 C++로 작성되었으며, 각 변종은 타깃 운영 체제에 맞게 조정되었지만 온라인 악성코드 검사 사..

국내외 보안동향 2022. 1. 12. 09:00

Linux version of AvosLocker ransomware targets VMware ESXi servers AvosLocker 랜섬웨어가 VMware ESXi 가상 머신을 노린 최근 악성코드 변종에 리눅스용 시스템 암호화 지원을 추가했습니다. BleepingComputer는 100만 달러의 랜섬머니를 요구를 받은 피해자가 적어도 한 명 발생한 사실을 인지하고 있다고 밝혔습니다. 몇 달 전, AvosLocker는 최신 랜섬웨어 변종인 Windows Avos2 및 AvosLinux를 광고하면서 파트너들에 구소련 및 CIS를 공격하지 말라고 경고했습니다. "새로운 변종(avos2 / avoslinux)은 경쟁업체에 비해 높은 성능과 많은 양의 암호화를 제공하는 두 가지 장점을 모두 갖추고 있습니다..

국내외 보안동향 2022. 1. 11. 14:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 01월 02일~01월 08일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 76건이고 그중 악성은 8건으로 10.53%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 9건 대비 8건으로 1건이 감소했습니다. 일일 유입량은 하루 최저 3건(악성 1건)에서 최대 26건(악성 5건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 8건 중 Link-Malware형이 50.0%로 가장 많았고 뒤이어 Attach-Malware형이 25.0%를..

악성코드 분석 리포트 2022. 1. 11. 09:30

Researchers Find Bugs in Over A Dozen Widely Used URL Parser Libraries 16개의 서로 다른 URL(Uniform Resource Locator) 파싱 라이브러리에 대한 연구 결과 유효성 검사를 우회하고 광범위한 공격 벡터에 노출시킬 수 있는 취약점이 발견되었습니다. 사이버 보안 회사인 Claroty와 Synk가 공동으로 수행한 심층 분석을 통해 C, JavaScript, PHP, Python, Ruby 언어로 작성되어 여러 웹 애플리케이션에서 널리 사용되는 많은 써드파티 라이브러리에서 보안 취약점 8개가 발견되었습니다. 이들은 The Hacker News와 공유한 보고서에서 아래와 같이 밝혔습니다. "URL 파싱 내 혼란은 소프트웨어(예: 웹 응용 ..

국내외 보안동향 2022. 1. 11. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 10일, 입사지원서를 위장한 피싱 메일을 통해 Makop 랜섬웨어가 대량으로 유포중에 있어 사용자들의 주의가 필요합니다. 피싱 메일에는 "입사지원서_220109(경력사항도 같이 기재하였습니다 잘부탁드립니다)"라는 파일명을 가진 .exe 파일이 첨부되어 있습니다. 해당 .exe 파일은 한글 파일 아이콘을 위장하고 있습니다. 사용자가 해당 파일을 정상 파일로 오인하여 실행하면 Makop 랜섬웨어 실행됩니다. 해당 샘플은 분석을 어렵게 하기 위하여 NSIS(Nullsoft Scriptable Install System)를 사용하였으며, 라이브러리와 소스를 특정 폴더에 드롭하고, 필요한 함수들을 메모리에 로딩하고 스스로 프로세스를 생성해 자신에게..

악성코드 분석 리포트 2022. 1. 10. 16:56