Dark Mirai botnet spreads targeting RCE on TP-Link routers Dark Mirai 봇넷이 TP-Link TL-WR840N EU V5 홈 라우터에 존재하는 취약점인 CVE-2021-41653을 악용하여 확산되는 것으로 나타났습니다. CVE-2021-41653 취약점의 CVE 페이지에서는 아래와 같이 설명했습니다. "TL-WR840N(EU)_V5_171211 펌웨어를 사용하는 TP-Link TL-WR840N EU v5 라우터의 PING 기능이 IP 주소 입력 필드의 조작된 페이로드를 통한 원격 코드 실행(RCE)에 취약합니다." TP-Link는 2021년 11월 12일 펌웨어 업데이트인 TL-WR840N(EU)_V5_211109를 공개해 취약점을 해결했습니다. 이 ..

국내외 보안동향 2021. 12. 10. 14:00

안녕하세요! 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 이스트시큐리티는 다가오는 2022년을 맞이하여, '2022년 예상 보안이슈 TOP6' 및 ‘2021년 주요 보안이슈 결산 TOP5’를 정리해 보았습니다. 2022년 예상 보안이슈 TOP6 1. 북한 당국의 공공/민간분야 대상 사이버 위협 가속화 2022년 역시 북한의 대남 사이버 위협은 일상처럼 지속될 것으로 예측됩니다. 특히, 공공분야뿐만 아니라 민간 분야 전문 종사자를 대상으로 한 표적 공격도 가속화될 것으로 보입니다. 2. 국지적 고도화된 랜섬웨어 공격 활발 기업용 소프트웨어, 운영체제 취약점 등을 악용해 맞춤형 랜섬웨어를 유포하고 내부 정보를 유출하는 공격이 광범위하게 발생할 것입니다. 랜섬웨어 제작에서 유포까지 도와주는 서비스형 랜섬웨..

전문가 기고 2021. 12. 10. 11:10

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. Log4j 라이브러리는 아파치 소프트웨어 재단에서 개발한 인기 있는 Java 로깅 프레임 워크입니다. Log4j는 프로그램을 작성하는 도중에 로그를 남기기 위해 사용되는 자바 기반 로깅 유틸리티 입니다. 이번에 발견된 주요 취약점은 Log4j 2 버전에 존재하는 JNDI(Java Naming and Directory Interface) 인젝션 취약점으로, 이를 악용하면 원격 코드 실행(RCE)이 가능하게 됩니다. Apache Log4j 2 버전에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)을 통해 악성파일 감염 등의 피해가 발생할 수 있어 최신 버전으로 긴급 업데이트가 필요합니다. 또한, 추가적으로 서비스 거부 취약점(CVE-..

국내외 보안동향 2021. 12. 10. 09:45

Malicious Notepad++ installers push StrongPity malware StrongPity로 알려진 해킹 그룹이 타깃을 악성코드에 감염시키는 Notepad++ 인스톨러를 배포하고 있는 것으로 나타났습니다. APT-C-41, Promethium으로도 알려진 이 해킹 그룹은 2016 ~ 2018년 사이에 타깃이 제한된 캠페인에서 트로이목마화된 WinRAR 설치 프로그램을 배포했었기 때문에, 이 기술이 새로운 것은 아닙니다. 최근 이들은 폭 넓은 조직에서 사용하는 윈도우용 매우 인기 있는 무료 텍스트 및 소스코드 편집기인 Notepad++를 미끼로 사용했습니다. 'blackorbird'로 알려진 분석가가 이 변조된 설치 프로그램을 발견했으며, Minerva Labs는 이 악성코드에 ..

국내외 보안동향 2021. 12. 10. 09:00

SonicWall strongly urges customers to apply patches to SMA 100 devices 보안 공급업체인 SonicWall이 SMA 100 시리즈 어플라이언스를 사용하는 고객에 여러 보안 취약점을 수정하는 보안 패치를 적용할 것을 권고했습니다. 이 중 일부 취약점은 ‘치명적’으로 분류되었습니다. "SonicWall은 SMA 200, 210, 400, 410, 500v 제품을 포함 SMA 100 시리즈 어플라이언스에서 치명적, 보통 심각도(CVSS 5.3-9.8)인 취약점을 확인 및 패치했습니다. WAF가 활성화된 SMA 100 시리즈 어플라이언스도 대부분의 위 취약점의 영향을 받습니다.” "조직에서는 아래 지침에 따라 SMA 200, 210, 400, 410, 500..

국내외 보안동향 2021. 12. 9. 14:00

Hackers infect random WordPress plugins to steal credit cards 신용 카드 스와이퍼가 온라인 상점 WordPress 사이트의 랜덤한 플러그인에 주입되어 탐지를 피한 채 고객의 지불 세부 정보를 훔치는 것으로 나타났습니다. 크리스마스 쇼핑 시즌이 다가오면서 공격자는 온라인 상점을 은밀한 스키머에 감염시키려는 노력을 더욱 강화하고 있습니다. 따라서 관리자는 경계를 늦추지 말아야 할 것입니다. 최근 유행하는 수법은 카드 스키머를 WordPress 플러그인 파일에 주입하는 것입니다. 대부분이 탐지를 피하기 위해 면밀히 모니터링되는 'wp-admin' 및 'wp-includes' 코어 디렉토리를 피하고 있습니다. 의외로 잘 보이도록 숨어 Sucuri의 새로운 보고서에..

국내외 보안동향 2021. 12. 9. 09:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 서울지방경찰청을 위장하여 스미싱이 유포되어 사용자들의 주의가 필요합니다. [서울지방경찰청] 보이스피싱 및 해킹 예방프로그램 (설치완료후 위험한앱감지 클릭) hxxp://xx.xx.xxx.xxx/ 사용자가 해당 스미싱 문자에 포함된 ip주소를 클릭하면 악성 앱이 내려옵니다. 악성 앱은 피싱아이즈라는 앱을 위장하고 있습니다. * 피싱 아이즈 앱이란 경찰청 및 금융사 제휴를 통한 금융사기 피해예방 앱 악성앱이 사용자 휴대폰에 설치되면, 다음과 같은 메인페이지를 보여줍니다. 메인화면에서 보이는 의심검사를 누르면, 실제 위험앱을 스캔하여 탐지한것처럼 보이는 화면을 띄워 사용자의 의심을 피하며, 다른 메뉴들도 실제 앱처럼 꾸며놓았습니다. 해당 악성앱은 다음과 같은 권..

악성코드 분석 리포트 2021. 12. 8. 16:41

안녕하세요? 이스트시큐리티입니다. 오늘은 이스트시큐리티가 엔드포인트 서버 보안 솔루션, '알약 서버'를 네이버 클라우드 플랫폼 마켓플레이스에 등록하고, 구독 서비스 확장에 본격적으로 나선다는 소식을 전달드립니다. '알약 서버'는 기업의 정보자산을 보호하고 효율적인 업무환경을 보장하는 엔드포인트 서버 보안 솔루션으로 이스트시큐리티의 대표 제품인 '알약'의 기술력을 활용해 서버 환경에서도 최적화된 보안 기능을 제공하는 서비스입니다. 이번에 이스트시큐리티가 입점한 마켓플레이스는 네이버 클라우드가 운영하고 있으며, 네이버 클라우드는 검증된 클라우드 솔루션을 기업들이 보다 손쉽게 이용할 수 있도록 해당 플랫폼을 통해 서비스 이용 환경을 제공하고 있습니다. '알약 서버'는 서버의 운영체제에 따라 '알약 서버'와 '..

이스트시큐리티 소식 2021. 12. 8. 14:51