안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 금일 오전부터, 피싱 메일을 통해 LockBit 랜섬웨어가 유포중에 있어 사용자들의 주의가 필요합니다. 피싱 메일은 저작권 위반을 위장하여 유포중인 것으로 추정되며, pdf 파일을 위장한 ' 이미지 원본(제가 제작한 이미지)과 사용하고 있으신 이미지 정리한 내용' 파일명의 악성파일이 첨부되어 있습니다. 만일 사용자가 해당 파일을 pdf 파일로 오인하여 실행하면, 악성 파일이 실행됩니다. 악성 파일은 NSIS 설치 패키지 형태로, 실행되면 자식 프로세스를 생성하고 LockBit 2.0랜섬웨어 파일을 메모리에 드랍합니다. 이후 사용자 PC의 파일들을 암호화 하며, 암호화 후 확장자를 .lockbit으로 변경합니다. 또한 Restore-My-F..

악성코드 분석 리포트 2022. 1. 27. 16:35

Apple fixed the first two zero-day vulnerabilities of 2022 애플이 제로데이 취약점 다수를 수정하기 위한 보안 업데이트를 발표했습니다. 이 중 하나는 iPhone 및 Mac 기기를 해킹하기 위해 실제 공격에서 활발히 악용되고 있는 것으로 나타났습니다. CVE-2022-22587로 등록된 이 제로데이 취약점 중 하나는 IOMobileFrameBuffer에 존재하며 iOS, iPadOS, macOS Monterey에 영향을 미치는 메모리 손상 이슈입니다. 해당 취약점을 악용할 경우 해킹된 기기에서 커널 권한으로 임의 코드가 실행됩니다. 애플은 보안 권고를 통해 아래와 같이 밝혔습니다. “악성 애플리케이션은 커널 권한으로 임의의 코드를 실행할 수 있습니다. 애플은 ..

국내외 보안동향 2022. 1. 27. 14:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 견적서를 위장한 피싱메일을 통해 Lokibot이 유포중에 있어 사용자들의 주의가 필요합니다. 이번에 발견된 피싱 메일은 '견적요청서 송부의 건' 제목으로 유포되고 있으며, 피싱 메일에는 대용량파일 형태로 악성파일이 첨부되어 있습니다. 압축파일 내에는 exe 파일이 포함되어 있습니다. exe는 실행파일로 사용자 측에서 쉽게 이상하다는 의구심을 가질 수 있지만, 확장자 확인을 하지 않거나 주의를 기울이지 않으면 충분히 실행 가능성이 있습니다. 사용자가 압축파일 내 .exe 파일은 난독화 되어 있으며, 을 실행하면 dll이 드롭되며, 드롭된 dll은 추가로 다른 dll을 드랍합니다. 최종적으로 드랍된 dll 파일은 사용자의 레지스트리를 순회하며..

악성코드 분석 리포트 2022. 1. 27. 10:12

안녕하세요? 이스트시큐리티입니다. 2022년 설 연휴를 맞이하여 시큐리티대응센터(이하 ESRC)에서는 5가지 보안위협 및 그 대응방안에 대해 정리해 보았습니다. 1. 계정 정보를 위협하는 피싱 메일 주의 오미크론의 확산세가 증가하면서 전통시장이 아닌 온라인에서 장을 보는 사람들이 증가하고, 방역 패스 시행에 따라 명절 전 백신 접종을 하려는 사람들 또한 많을 것으로 예상됨에 따라 '백신 예약', '국민 비서', '카카오 결제' 등의 키워드를 이용한 피싱 메일을 통한 계정 정보 유출 시도가 증가할 것으로 예상됩니다. 사용자 여러분들은 이메일 발신자 주소 및 접속 페이지의 url을 확인하는 습관을 길러야 하며, 어느 경우에도 계정 비밀번호를 요구하는 경우는 없다는 점 반드시 기억하고 있어야 하겠습니다. 또한..

전문가 기고 2022. 1. 27. 09:16

Hackers Exploited MSHTML Flaw to Spy on Government and Defense Targets 지난 화요일 사이버 보안 연구원들이 국가 안보 정책을 감독하는 고위 공무원과 서아시아의 방위 산업 부문의 개인을 노린 다단계 스파잉 캠페인을 발견했습니다. 보안 회사인 Trellix는 이 공격의 특이한 점이 Microsoft OneDrive를 C2 서버로 활용하고 은폐된 상태를 최대한 유지하기 위해 최대 6단계로 나뉜다는 것이라 밝혔습니다. "이러한 통신 유형을 사용할 경우 합법적인 Microsoft 도메인에만 연결하고 의심스러운 네트워크 트래픽을 표시하지 않기 때문에 악성코드가 피해자의 시스템에서 눈에 띄지 않고 이동할 수 있습니다." 이 은밀한 작전은 최소 2021년 6월 1..

국내외 보안동향 2022. 1. 27. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 근로계약서를 사칭한 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다. 이번 피싱 메일은 '[***] '2022 근로계약서_***' 서류심사 및 준비서류 요청'이라는 제목으로 유포되었습니다. 피싱 메일에는 검토할 문서가 있다는 내용과 함께 [문서 검토]라는 버튼이 있습니다. 만일 사용자가 해당 버튼을 누르면 피싱 페이지로 넘어가게 됩니다. 피싱 페이지는 암호화 된 pdf 파일을 위장하고 있으며, 다운로드 링크를 클릭하면 사용자 이메일의 비밀번호를 입력하라고 유도합니다. 만일 사용자가 password 란에 비밀번호를 입력하면, 로딩 아이콘이 뜨며 마치 오류가 난 것처럼 아무런 반응이 없습니다. 하지만 실제로는 백그라운드에서 사용자가 입..

악성코드 분석 리포트 2022. 1. 26. 17:22

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 12월은 11월과 마찬가지로 택배 스미싱이 공격을 주도했습니다. 택배를 키워드로 하는 스미싱 공격은 88.19%로 11월 대비 17% 정도 증가하며 여전히 증가세를 이어가고 있습니다. 그리고 금융기관을 사칭하는 스미싱 공격이 9.59%, 수사기관을 사칭하는 스미싱 공격이 1.52%로 증가세를 이어가고 있습니다. 마지막으로 건강검진을 키워드로 하는 스미싱 공격은 0.58%로 11월 대비 22% 정도 감소하며 공격자들이 다시 택배 키워드를 스미싱 공격의 주요 키워드로 사용하고 있음을 알 수 있습니다. 위의 통계를 통해 주요 스미싱 공격 키워드가 건강검진에서 다시 택배로 전환되고 있음을 알 수 있습니다. 12월의 스미싱 트렌드를 살펴보도록 하겠..

악성코드 분석 리포트 2022. 1. 26. 16:27

TrickBot Malware Using New Techniques to Evade Web Injection Attacks 악명 높은 TrickBot의 제작자가 안티바이러스 제품을 우회하기 위해 여러 방어 계층을 추가한 것으로 나타났습니다. IBM Trusteer는 보고서를 통해 아래와 같이 밝혔습니다. "해당 악성코드는 연구원이 접근하지 못하도록 하고 보안 통제를 우회할 수 있도록 악성코드 인젝션에 추가 보호 기능을 장착했습니다." "대부분의 경우 이러한 추가 보호 기능은 Dyre 트로이 목마가 사라진 후 시작된 TrickBot의 주요 활동인 온라인 뱅킹 사기에서 진행되는 주입에 적용되었습니다." 뱅킹 트로이 목마로 시작한 TrickBot은 랜섬웨어와 같은 추가 페이로드를 전달하기 위해 다양한 공격자가..

국내외 보안동향 2022. 1. 26. 14:00