Google disrupts the Glupteba botnet 구글이 Glupteba가 운영하는 인프라를 중단했다고 발표했습니다. 또한 이들은 러시아 국적을 가진 Dmitry Starovikov와 Alexander Filippov를 해당 봇넷을 생성 및 운영한 혐의로 고발했습니다. 블록체인을 지원하는 이 봇넷은 최소 2011년부터 활동해왔으며, 연구원들은 Glupteba 봇넷이 현재 전 세계적으로 100만 대 이상의 Windows PC로 구성되어 있다고 추정했습니다. 봇넷은 사용자의 크리덴셜 및 데이터를 훔치고, 피해자의 리소스를 악용하는 가상화폐를 채굴하고, 감염된 컴퓨터와 라우터를 통해 다른 사람의 인터넷 트래픽을 퍼뜨리는 프록시를 설정하는 데 사용되었습니다. 해당 봇넷의 운영자는 크랙 또는 불법 ..

국내외 보안동향 2021. 12. 8. 14:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 법원명령을 위장한 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다. 이번 피싱 메일은 '법원 명령' 제목으로 유포되고 있습니다. 다만 이메일 본문은 어색한 한글로 작성되어 있으며, 번역기를 돌려 유포한 것으로 추정됩니다. 내용은 12월 9일 목요일날 법원에 첨부되어 있는 파일을 제출해야 한다는 내용입니다. 이메일이 너무 서툰 한국어로 작성되어 있지만 보낸 사람의 이메일이 실제 모 법률 사무소의 이메일이라서 실제로 첨부파일을 실행하는 사람들이 있을 것으로 추정됩니다. 이메일에는 rar 파일이 첨부되어 있으며, 압축파일 내에는 .exe 파일이 포함되어 있습니다. 만일 사용자가 압축파일에 포함되어 있는 .exe 파일을 실행하면 %temp% 경로에 폴더를 ..

악성코드 분석 리포트 2021. 12. 8. 09:54

Zoho는 지난 금요일, 고객들에게 MagageEngine 서버를 업데이트 하고, 현재 악용되고 있는 제로데이 취약점 패치를 적용하라고 촉구하였습니다. CVE-2021-44515로 명명된 해당 취약점은, Zoho ManageEngine Desktop Central에이전트를 사용하는 ServiceDesk Plus의 Professional 및 Enterprise 버전 고객에게 영향을 미칩니다. 해당 취약점을 악용하면 공격자가 인증을 우회하여 Desktop Central 서버에서 악성코드를 실행할 수 있습니다. 지난 주말, Zoho는 익스플로잇 탐지 툴을 출시하였으며, 보안연구원들 역시 YARA rules 공개하여 악의적인 행위를 탐지할 수 있도록 하였습니다. 이번에 공개된 취약점은 현재 악용되고 있는 세번째..

국내외 보안동향 2021. 12. 7. 15:04

330 SPAR stores close or switch to cash-only payments after a cyberattack 글로벌 슈퍼마켓 체인점인 SPAR이 사이버 공격을 받아 잉글랜드 북동부의 매장 330곳의 운영에 차질이 생겼습니다. 공격 이후 많은 상점이 문을 닫거나, 결제에 현금만 사용해야 했습니다. SPAR은 2019년 기준 48개국에서 매장 13,320곳을 운영하고 있지만, 해당 사이버 공격은 Lancashire 카운티에서만 발생했습니다. 이 공격은 지난 주말에 발생했으며, 금일 일부 상점은 문을 닫은 상태입니다. 카운티 전역에 25개의 지점을 운영하는 Lawrence Hunt & Co Ltd는 이 사고가 현금 서랍, 신용 카드, SPAR의 네트워크 전반의 백오피스 시스템에 영향을 ..

국내외 보안동향 2021. 12. 7. 14:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 11월 28일~12월 04일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 152건이고 그중 악성은 47건으로 30.92%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 31건 대비 47건으로 16건이 증가했습니다. 일일 유입량은 하루 최저 5건(악성 2건)에서 최대 53건(악성 19건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 47건 중 Link-Malware형이 42.6%로 가장 많았고 뒤이어 Attach-Phishing형..

악성코드 분석 리포트 2021. 12. 7. 09:30

Russian hacking group uses new stealthy Ceeloader malware Novelium 해킹 그룹이 새로운 커스텀 "Ceeloader" 악성코드를 통해 클라우드 및 관리 서비스 제공업체를 노리는 방식으로 전 세계 정부 및 기업 네트워크를 계속해서 침해하고 있는 것으로 나타났습니다. Novelium은 작년에 여러 미국 연방 기관을 해킹한 SolarWinds 공급망 공격을 실행한 공격자로 마이크로소프트에서 명명했습니다. 이 그룹은 보통 APT29, The Dukes, Cozy Bear로 알려진 러시아 외국 정보국(SVR)의 해킹 부서로 추측됩니다. 노벨리움은 커스텀 악성코드와 툴을 사용하는 수준 높은 해킹 그룹이지만, 여전히 연구원들이 공격을 분석할 수 있는 흔적을 남깁니다...

국내외 보안동향 2021. 12. 7. 09:00

New Malvertising Campaigns Spreading Backdoors, Malicious Chrome Extensions 악성 캠페인 다수에서 Viber, WeChat, NoxPlayer, Battlefield를 포함한 인기 있는 앱 및 게임의 가짜 인스톨러를 통해 사용자의 시스템에서 크리덴셜 및 데이터를 훔치고 원격 연결을 유지하려 시도하고 있는 것으로 나타났습니다. 이들은 사용자가 새로운 백도어와 악성 구글 크롬 확장 프로그램을 다운로드하도록 속였습니다. Cisco Talos는 해당 악성코드 페이로드가 신원이 밝혀지지 않은 "magnat"라는 닉네임을 사용하는 공격자의 작업이라 밝히며 "작성자는 이 두 패밀리를 지속적으로 개발 및 개선했다”고 밝혔습니다. 이 공격은 2018년 말에 시작..

국내외 보안동향 2021. 12. 6. 14:00

FBI: Cuba ransomware breached 49 US critical infrastructure orgs FBI가 Cuba 랜섬웨어 그룹이 미국의 주요 인프라 내 조직 최소 49곳의 네트워크를 해킹했다고 발표했습니다. "FBI는 2021년 11월 초 Cuba 랜섬웨어 공격자가 금융, 정부, 의료, 제조, IT 부문을 포함한 핵심 인프라 부문 5개의 조직들 최소 49곳을 해킹한 것으로 확인했습니다.” FBI는 또한 이 랜섬웨어 그룹이 미국 기업을 타깃으로 공격하기 시작한 이후 4천만 달러 이상을 벌어들였다고 덧붙였습니다. "Cuba 랜섬웨어 공격자는 랜섬머니로 최소 7,400만 달러를 요구했으며, 최소 4,390만 달러를 벌어들였습니다." 이와 같은 사실은 CISA와 공동 발행한 플래시 경보를 ..

국내외 보안동향 2021. 12. 6. 09:00