안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 10일, 입사지원서를 위장한 피싱 메일을 통해 Makop 랜섬웨어가 대량으로 유포중에 있어 사용자들의 주의가 필요합니다. 피싱 메일에는 "입사지원서_220109(경력사항도 같이 기재하였습니다 잘부탁드립니다)"라는 파일명을 가진 .exe 파일이 첨부되어 있습니다. 해당 .exe 파일은 한글 파일 아이콘을 위장하고 있습니다. 사용자가 해당 파일을 정상 파일로 오인하여 실행하면 Makop 랜섬웨어 실행됩니다. 해당 샘플은 분석을 어렵게 하기 위하여 NSIS(Nullsoft Scriptable Install System)를 사용하였으며, 라이브러리와 소스를 특정 폴더에 드롭하고, 필요한 함수들을 메모리에 로딩하고 스스로 프로세스를 생성해 자신에게..

악성코드 분석 리포트 2022. 1. 10. 16:56

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 카카오 선물하기를 위장한 피싱메일을 통하여 카카오톡 친구추가를 유도하여 계정정보 유출을 시도하는 공격이 지속적으로 발생하고 있어 사용자들의 각별한 주의가 필요합니다. 카카오 선물하기를 위장한 피싱 메일은 다음과 같습니다. '주문이 완료되었습니다', '결제 안내' 등의 메일 제목으로 유포되며, 이메일에는 선물하기로 특정 상품이 결제되었으며 본인이 주문하지 않았다면 카카오톡 친구추가 후 문의를 하라며 이메일 내에 포함되어 있는 아이디로 친구추가를 유도합니다. 만일 사용자가 해당 피싱메일을 실제 카카오가 보낸 것으로 오인하여 친구추가 후 문의를 한다면, 직접 주문한게 아니라면 카카오계정 도용/해킹으로 인한 사기 피해가 우려되니 카카오 고객센터에..

악성코드 분석 리포트 2022. 1. 10. 14:19

Alfer Microsoft, also SonicWall confirmed that its products were affected by Y2K22 bug 보안 장비 업체인 SonicWall이 이메일 보안 및 방화벽 제품 중 일부가 Y2K22 에 취약하다고 밝혔습니다. 회사에 따르면, 2022년 1월 1일부터 이메일 보안 제품에 정크 박스 및 메시지 로그 업데이트가 실패하는 문제가 발생하기 시작했습니다. 관리자와 이메일 사용자는 정크 박스에 접근하거나 정크메일로 분류된 새 이메일을 해제할 수 없으며, 메시지 로그를 통해 수신/발신 이메일을 추적할 수 없었습니다. SonicWall은 이 문제를 해결하기 위해 지난 1월 2일 Hosted Email Security의 북미 및 유럽 인스턴스에 대한 업데이트를 ..

국내외 보안동향 2022. 1. 10. 14:00

Log4Shell-like Critical RCE Flaw Discovered in H2 Database Console 연구원들이 H2 데이터베이스 콘솔에서 지난 달 발견된 Log4j "Log4Shell" 취약점과 유사한 방식으로 원격 코드 실행을 촉발시킬 수 있는 보안 취약점을 발견해 공개했습니다. JFrog의 연구원인 Andrey Polkovnychenko와 Shachar Menash는 CVE-2021-42392로 등록된 이 취약점에 대해 “Log4j 이외의 구성요소에서 Log4Shell 이후 최초로 발견된 치명적인 취약점”이라 설명하며 “Log4Shell 취약점과 동일한 근본적인 원인인 JNDI 원격 클래스 로딩을 악용한다”고 밝혔습니다. H2는 Java로 작성된 오픈 소스 관계형 데이터베이스 관리..

국내외 보안동향 2022. 1. 10. 09:00

[1월 첫 번째 주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No. 문자내용 1 [대한통운]고객님 상품 배송 실패, 원인 주소 오류 즉시 주소 변경:[ xxx.xxxxxxxx[.]top/xxx ] 2 [ c j대한통운] 고객님 택배 배송 불가 즉시 주소 변경 부탁드립니다.[ xxx.xxxxxxxx[.]cn/xxxx ] 3 [대한통운]고객님 택배, 이상 배송 실패 주소 불명확 즉시 주소 변경:[ xxx.xxxxxxxx[.]top/xxx ] 4 [Web발신][OO저축은행]저금리 신용대출, 무방문 빠른 당일한도조회,합리적인 금리와 높은 한도! 지금 바로..

안전한 PC&모바일 세상/스미싱 알림 2022. 1. 7. 17:16

Google Docs comment feature abused in phishing campaign 보안 회사인 Avanan의 연구원들이 지난 12월에 구글 문서 내 댓글 기능을 악용하여 악성 메시지를 전송하는 새로운 기술을 사용하여 주로 Outlook 사용자를 노리는 피싱 캠페인을 발견했습니다. 공격 체인은 매우 간단하며, 공격자는 구글 계정을 사용하여 구글 문서를 만듭니다. 공격자는 구글에서 오는 메시지를 자동으로 보내기 위해 '@'가 있는 대상을 참조하는 댓글을 구글 문서에 추가했습니다. 댓글 내용에는 악성 링크가 포함되어 있으며, 이메일 주소와 공격자 이름은 표시되지 않습니다. 구글은 언급된 대상의 받은 편지함으로 알림 이메일을 보내 해당 사용자를 언급한 문서에 추가된 새 댓글에 대해 알립니다. ..

국내외 보안동향 2022. 1. 7. 14:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 카카오계정을 위장한 피싱 메일이 유포되어 사용자들의 주의가 필요합니다. 이번 피싱 메일은 카카오 계정 이용자 보호상태로 변경되었다는 내용으로 유포되었으며, 보호 해제가 필요하다며 사용자에게 피싱메일 내 '보호 해제하기' 버튼 클릭을 유도합니다. '보호 해제하기' 버튼에는, 피싱 사이트로 연결되는 링크가 연결되어 있으며, 사용자가 해당 버튼을 클릭하면 피싱 페이지로 이동하게 됩니다. 사용자가 만일 해당 페이지를 실제 카카오 페이지로 오인하여 비밀번호를 입력하면, 카카오계정 혹은 비밀번호가 일치하지 않는다는 문구를 띄워 사용자에게 비밀번호 재입력을 유도합니다. 하지만, 실제로 사용자가 입력한 비밀번호들은 공격자의 서버로 전송됩니다. 이때, 사..

악성코드 분석 리포트 2022. 1. 7. 10:40

New Trick Could Let Malware Fake iPhone Shutdown to Spy on Users Secretly 연구원들이 iOS의 종료 프로세스를 위장하여 감염된 기기에서 지속성을 얻어 아이폰이 꺼져 있는지 여부를 물리적으로 확인할 수 없도록 하는 새로운 기술을 사용하는 악성코드를 공개했습니다. "NoReboot"라 명명된 이 악성코드는 모바일 보안 회사인 ZecOps가 발견했으며, iOS 재부팅 작업을 차단한 다음 시뮬레이션해 전화 기기가 실제로는 사용 중이지만 전원이 꺼져있는 것으로 위장해 사용자를 속일 수 있습니다. 연구원들은 이에 대해 "지속성 버그를 전혀 이용하지 않고 사용자를 속이는 것이기 때문에 패치가 될 수 없는 버그”라 설명했습니다. NoReboot는 iOS에서 기기..

국내외 보안동향 2022. 1. 7. 09:00