안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 북한 연계 조직이 코로나19 3차 백신접종 전자문서로 위장한 해킹 메일을 유포중에 있어 사용자들의 주의가 필요합니다. 해당 이메일은 주로 특정분야 전문가들을 대상으로 유포되고 있어 분명한 목적을 가진 공격으로 추정됩니다. 이번에 발견된 이메일은 중앙방역대책본부를 위장하고 있으며, 코로나19 백신 3차 접종 후 이상반응 모니터링 현황의 제목으로 사용자의 클릭을 유도합니다. 만일, 사용자가 '확인하기' 버튼을 누르면, 네이버 로그인창을 위장한 피싱 사이트로 넘어갑니다. 피싱 사이트 링크는, 실제 네이버 로그인 페이지 주소인 nid.naver.com을 교묘하게 위장하고 있습니다. 만일 사용자가 해당 페이지를 실제 페이지로 오인하여 계정정보를 입..

악성코드 분석 리포트 2022. 1. 28. 11:14

Experts analyze first LockBit ransomware for Linux and VMware ESXi LockBit 랜섬웨어가 새 버전에 Linux 시스템에 대한 지원을 추가했습니다. 해당 버전은 VMware ESXi 가상 머신을 노렸습니다. 이러한 움직임은 가상화 환경으로 마이그레이션하는 모든 조직을 포함하여 잠재적 타깃을 확대하는 것이 목표인 것으로 보입니다. LockBit은 2021년 10월부터 VMware ESXi 가상 머신을 노리는 새로운 Linux 버전을 광고하고 있었습니다. Trend Micro는 이들이 지난 10월부터 언더그라운드 포럼인 "RAMP"에서 리눅스 버전인 LockBit Linux-ESXi Locker 버전 1.0을 발표하여 광고하고 있었다고 밝혔습니다. Tre..

국내외 보안동향 2022. 1. 28. 09:00

안녕하세요? 이스트시큐리티입니다. 이스트시큐리티를 성원해주시는 모든 분들께 민족 대명절 설날을 맞이하여 감사의 인사를 올립니다. 지난 한 해 동안 보내주신 관심과 성원에 다시 한번 깊이 감사드리며, 2022년 새해에도 이스트시큐리티는 더욱 안전한 세상을 만들어가기 위해 노력하겠습니다. 감사합니다.

이스트시큐리티 소식 2022. 1. 28. 09:00

폴킷(polkit)의 pkexec 유틸리티에 로컬 권한 상승 취약점이 존재합니다. Polkit(이전의 PolicyKit)은 Unix 계열 운영체제에서 시스템 전체 권한을 제어하기 위한 구성요소로, 권한 없는 프로세스가 권한 있는 프로세스와 통신할 수 있는 조직적인 방법을 제공합니다. 취약한 버전의 pkexec는 호출 인수 수를 올바르게 처리하지 못하고 결국 환경 변수를 명령으로 실행하려고 하는데, 공격자는 환경 변수를 조작하여 pkexec가 임의의 코드를 실행하도록 유도함으로써 이를 악용할 수 있습니다. 악용에 성공하면 로컬 권한 상승으로 이어지며 권한이 없는 사용자는 관리자 권한을 얻습니다. 취약한 버전 현재 주로 사용되는 모든 Linux 버전 패치방법 우분투 : https://ubuntu.com/se..

국내외 보안동향 2022. 1. 27. 17:50

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 금일 오전부터, 피싱 메일을 통해 LockBit 랜섬웨어가 유포중에 있어 사용자들의 주의가 필요합니다. 피싱 메일은 저작권 위반을 위장하여 유포중인 것으로 추정되며, pdf 파일을 위장한 ' 이미지 원본(제가 제작한 이미지)과 사용하고 있으신 이미지 정리한 내용' 파일명의 악성파일이 첨부되어 있습니다. 만일 사용자가 해당 파일을 pdf 파일로 오인하여 실행하면, 악성 파일이 실행됩니다. 악성 파일은 NSIS 설치 패키지 형태로, 실행되면 자식 프로세스를 생성하고 LockBit 2.0랜섬웨어 파일을 메모리에 드랍합니다. 이후 사용자 PC의 파일들을 암호화 하며, 암호화 후 확장자를 .lockbit으로 변경합니다. 또한 Restore-My-F..

악성코드 분석 리포트 2022. 1. 27. 16:35

Apple fixed the first two zero-day vulnerabilities of 2022 애플이 제로데이 취약점 다수를 수정하기 위한 보안 업데이트를 발표했습니다. 이 중 하나는 iPhone 및 Mac 기기를 해킹하기 위해 실제 공격에서 활발히 악용되고 있는 것으로 나타났습니다. CVE-2022-22587로 등록된 이 제로데이 취약점 중 하나는 IOMobileFrameBuffer에 존재하며 iOS, iPadOS, macOS Monterey에 영향을 미치는 메모리 손상 이슈입니다. 해당 취약점을 악용할 경우 해킹된 기기에서 커널 권한으로 임의 코드가 실행됩니다. 애플은 보안 권고를 통해 아래와 같이 밝혔습니다. “악성 애플리케이션은 커널 권한으로 임의의 코드를 실행할 수 있습니다. 애플은 ..

국내외 보안동향 2022. 1. 27. 14:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 견적서를 위장한 피싱메일을 통해 Lokibot이 유포중에 있어 사용자들의 주의가 필요합니다. 이번에 발견된 피싱 메일은 '견적요청서 송부의 건' 제목으로 유포되고 있으며, 피싱 메일에는 대용량파일 형태로 악성파일이 첨부되어 있습니다. 압축파일 내에는 exe 파일이 포함되어 있습니다. exe는 실행파일로 사용자 측에서 쉽게 이상하다는 의구심을 가질 수 있지만, 확장자 확인을 하지 않거나 주의를 기울이지 않으면 충분히 실행 가능성이 있습니다. 사용자가 압축파일 내 .exe 파일은 난독화 되어 있으며, 을 실행하면 dll이 드롭되며, 드롭된 dll은 추가로 다른 dll을 드랍합니다. 최종적으로 드랍된 dll 파일은 사용자의 레지스트리를 순회하며..

악성코드 분석 리포트 2022. 1. 27. 10:12

안녕하세요? 이스트시큐리티입니다. 2022년 설 연휴를 맞이하여 시큐리티대응센터(이하 ESRC)에서는 5가지 보안위협 및 그 대응방안에 대해 정리해 보았습니다. 1. 계정 정보를 위협하는 피싱 메일 주의 오미크론의 확산세가 증가하면서 전통시장이 아닌 온라인에서 장을 보는 사람들이 증가하고, 방역 패스 시행에 따라 명절 전 백신 접종을 하려는 사람들 또한 많을 것으로 예상됨에 따라 '백신 예약', '국민 비서', '카카오 결제' 등의 키워드를 이용한 피싱 메일을 통한 계정 정보 유출 시도가 증가할 것으로 예상됩니다. 사용자 여러분들은 이메일 발신자 주소 및 접속 페이지의 url을 확인하는 습관을 길러야 하며, 어느 경우에도 계정 비밀번호를 요구하는 경우는 없다는 점 반드시 기억하고 있어야 하겠습니다. 또한..

전문가 기고 2022. 1. 27. 09:16