안녕하세요? 이스트시큐리티입니다. 이스트시큐리티를 성원해주시는 모든 분들께 민족 대명절 설날을 맞이하여 감사의 인사를 올립니다. 지난 한 해 동안 보내주신 관심과 성원에 다시 한번 깊이 감사드리며, 2022년 새해에도 이스트시큐리티는 더욱 안전한 세상을 만들어가기 위해 노력하겠습니다. 감사합니다.

이스트시큐리티 소식 2022. 1. 28. 09:00

폴킷(polkit)의 pkexec 유틸리티에 로컬 권한 상승 취약점이 존재합니다. Polkit(이전의 PolicyKit)은 Unix 계열 운영체제에서 시스템 전체 권한을 제어하기 위한 구성요소로, 권한 없는 프로세스가 권한 있는 프로세스와 통신할 수 있는 조직적인 방법을 제공합니다. 취약한 버전의 pkexec는 호출 인수 수를 올바르게 처리하지 못하고 결국 환경 변수를 명령으로 실행하려고 하는데, 공격자는 환경 변수를 조작하여 pkexec가 임의의 코드를 실행하도록 유도함으로써 이를 악용할 수 있습니다. 악용에 성공하면 로컬 권한 상승으로 이어지며 권한이 없는 사용자는 관리자 권한을 얻습니다. 취약한 버전 현재 주로 사용되는 모든 Linux 버전 패치방법 우분투 : https://ubuntu.com/se..

국내외 보안동향 2022. 1. 27. 17:50

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 금일 오전부터, 피싱 메일을 통해 LockBit 랜섬웨어가 유포중에 있어 사용자들의 주의가 필요합니다. 피싱 메일은 저작권 위반을 위장하여 유포중인 것으로 추정되며, pdf 파일을 위장한 ' 이미지 원본(제가 제작한 이미지)과 사용하고 있으신 이미지 정리한 내용' 파일명의 악성파일이 첨부되어 있습니다. 만일 사용자가 해당 파일을 pdf 파일로 오인하여 실행하면, 악성 파일이 실행됩니다. 악성 파일은 NSIS 설치 패키지 형태로, 실행되면 자식 프로세스를 생성하고 LockBit 2.0랜섬웨어 파일을 메모리에 드랍합니다. 이후 사용자 PC의 파일들을 암호화 하며, 암호화 후 확장자를 .lockbit으로 변경합니다. 또한 Restore-My-F..

악성코드 분석 리포트 2022. 1. 27. 16:35

Apple fixed the first two zero-day vulnerabilities of 2022 애플이 제로데이 취약점 다수를 수정하기 위한 보안 업데이트를 발표했습니다. 이 중 하나는 iPhone 및 Mac 기기를 해킹하기 위해 실제 공격에서 활발히 악용되고 있는 것으로 나타났습니다. CVE-2022-22587로 등록된 이 제로데이 취약점 중 하나는 IOMobileFrameBuffer에 존재하며 iOS, iPadOS, macOS Monterey에 영향을 미치는 메모리 손상 이슈입니다. 해당 취약점을 악용할 경우 해킹된 기기에서 커널 권한으로 임의 코드가 실행됩니다. 애플은 보안 권고를 통해 아래와 같이 밝혔습니다. “악성 애플리케이션은 커널 권한으로 임의의 코드를 실행할 수 있습니다. 애플은 ..

국내외 보안동향 2022. 1. 27. 14:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 견적서를 위장한 피싱메일을 통해 Lokibot이 유포중에 있어 사용자들의 주의가 필요합니다. 이번에 발견된 피싱 메일은 '견적요청서 송부의 건' 제목으로 유포되고 있으며, 피싱 메일에는 대용량파일 형태로 악성파일이 첨부되어 있습니다. 압축파일 내에는 exe 파일이 포함되어 있습니다. exe는 실행파일로 사용자 측에서 쉽게 이상하다는 의구심을 가질 수 있지만, 확장자 확인을 하지 않거나 주의를 기울이지 않으면 충분히 실행 가능성이 있습니다. 사용자가 압축파일 내 .exe 파일은 난독화 되어 있으며, 을 실행하면 dll이 드롭되며, 드롭된 dll은 추가로 다른 dll을 드랍합니다. 최종적으로 드랍된 dll 파일은 사용자의 레지스트리를 순회하며..

악성코드 분석 리포트 2022. 1. 27. 10:12

안녕하세요? 이스트시큐리티입니다. 2022년 설 연휴를 맞이하여 시큐리티대응센터(이하 ESRC)에서는 5가지 보안위협 및 그 대응방안에 대해 정리해 보았습니다. 1. 계정 정보를 위협하는 피싱 메일 주의 오미크론의 확산세가 증가하면서 전통시장이 아닌 온라인에서 장을 보는 사람들이 증가하고, 방역 패스 시행에 따라 명절 전 백신 접종을 하려는 사람들 또한 많을 것으로 예상됨에 따라 '백신 예약', '국민 비서', '카카오 결제' 등의 키워드를 이용한 피싱 메일을 통한 계정 정보 유출 시도가 증가할 것으로 예상됩니다. 사용자 여러분들은 이메일 발신자 주소 및 접속 페이지의 url을 확인하는 습관을 길러야 하며, 어느 경우에도 계정 비밀번호를 요구하는 경우는 없다는 점 반드시 기억하고 있어야 하겠습니다. 또한..

전문가 기고 2022. 1. 27. 09:16

Hackers Exploited MSHTML Flaw to Spy on Government and Defense Targets 지난 화요일 사이버 보안 연구원들이 국가 안보 정책을 감독하는 고위 공무원과 서아시아의 방위 산업 부문의 개인을 노린 다단계 스파잉 캠페인을 발견했습니다. 보안 회사인 Trellix는 이 공격의 특이한 점이 Microsoft OneDrive를 C2 서버로 활용하고 은폐된 상태를 최대한 유지하기 위해 최대 6단계로 나뉜다는 것이라 밝혔습니다. "이러한 통신 유형을 사용할 경우 합법적인 Microsoft 도메인에만 연결하고 의심스러운 네트워크 트래픽을 표시하지 않기 때문에 악성코드가 피해자의 시스템에서 눈에 띄지 않고 이동할 수 있습니다." 이 은밀한 작전은 최소 2021년 6월 1..

국내외 보안동향 2022. 1. 27. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 근로계약서를 사칭한 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다. 이번 피싱 메일은 '[***] '2022 근로계약서_***' 서류심사 및 준비서류 요청'이라는 제목으로 유포되었습니다. 피싱 메일에는 검토할 문서가 있다는 내용과 함께 [문서 검토]라는 버튼이 있습니다. 만일 사용자가 해당 버튼을 누르면 피싱 페이지로 넘어가게 됩니다. 피싱 페이지는 암호화 된 pdf 파일을 위장하고 있으며, 다운로드 링크를 클릭하면 사용자 이메일의 비밀번호를 입력하라고 유도합니다. 만일 사용자가 password 란에 비밀번호를 입력하면, 로딩 아이콘이 뜨며 마치 오류가 난 것처럼 아무런 반응이 없습니다. 하지만 실제로는 백그라운드에서 사용자가 입..

악성코드 분석 리포트 2022. 1. 26. 17:22