Night Sky ransomware operators exploit Log4Shell to target hack VMware Horizon servers Night Sky 랜섬웨어가 Log4j 라이브러리의 Log4Shell 취약점(CVE-2021-44228)을 악용하여 VMware Horizon 시스템에 접근하기 시작한 것으로 나타났습니다. 이 랜섬웨어 그룹은 2021년 12월 27일 활동을 시작했으며, 이미 방글라데시와 일본 내 두 조직의 기업 네트워크를 해킹했습니다. 또한 이들은 Tor 네트워크에 랜섬머니를 지불하지 않는 피해자로부터 훔친 파일을 게시할 유출 사이트를 개설했습니다. 이 랜섬웨어는 MalwareHunterteam의 연구원이 처음으로 발견했습니다. 이는 파일을 암호화한 후 암호화된 파일..

국내외 보안동향 2022. 1. 13. 14:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 1월 11일, 국내 신용카드사의 요금 명세서를 위장한 악성 메일이 발견되었습니다. 해당 피싱메일은 실제 메일과 매우 흡사하여 사용자가 쉽게 속을 가능성이 있습니다. 이러한 이메일은 카드사 뿐만 아니라 시중 은행을 사칭하여 유포되기도 합니다. 이번 공격은 특정 대북 분야 종사자를 겨냥해 진행되었으며, 사전에 수집한 여러 주변 정보를 활용해 생활 밀착형 표적 공격을 수행한 것으로 확인되었습니다. 공격에 사용된 이메일을 살펴보면 마치 html 기반의 명세서 파일이 있는 것처럼 보이지만, 실제 첨부된 파일은 존재하지 않고, 해당 영역 클릭 시 악성 피싱 사이트로 연결됩니다. 만일, 해당 피싱 사이트에서 계정 정보 입력한다면, 입력한 계정정보는 공격자의 서버로 전송..

악성코드 분석 리포트 2022. 1. 13. 10:36

Hackers Use Cloud Services to Distribute Nanocore, Netwire, and AsyncRAT Malware 공격자가 악성 캠페인에 아마존 및 마이크로소프트의 공개 클라우드 서비스를 악용해 Nanocore, Netwire, AsyncRAT와 같은 원격 액세스 트로이 목마(RAT)를 배포해 해킹된 시스템에서 민감 정보를 훔치고 있는 것으로 나타났습니다. Cisco Talos의 연구원들은 보고서에서 2021년 10월에 시작된 이 스피어 피싱 공격이 주로 미국, 캐나다, 이탈리아, 싱가포르에 위치한 기업을 타깃으로 삼았다고 밝혔습니다. 침입 시 기존 인프라를 사용하는 것은 보안 솔루션의 탐지를 피하기 위한 은폐 메커니즘이 될 수 있으며, 자체적으로 서버를 호스팅할 필요가 없..

국내외 보안동향 2022. 1. 13. 09:00

안녕하세요! 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2021년 4분기, 알약을 통해 총 163,229건의 랜섬웨어 행위기반 공격이 차단된 것으로 확인되었습니다. 이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약의 ‘랜섬웨어 행위기반 차단 기능’을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 탐지 건까지 포함한다면 전체 공격은 더욱 많을 것으로 예상됩니다. 4분기 알약을 통해 차단된 랜섬웨어의 공격은 총 163,229건으로, 일간 기준으로 환산하면 일 평균 약 1,813건의 랜섬웨어 공격이 차단된 것으로 볼 수 있습니다. 랜섬웨어의 공격 건수는 2021년도 3분기에 비해 약 2만 건 증가하였습니다. ESRC는 2021년 4분기 랜섬웨어 주요 동향을 다음과 같이 선정하였습니다. 1)..

전문가 기고 2022. 1. 12. 15:09

New KCodes NetUSB Bug Affect Millions of Routers from Different Vendors 사이버 보안 연구원들이 Netgear, TP-Link, Tenda, EDiMAX, D-Link, Western Digital 등 여러 업체의 최종 사용자용 라우터 기기 수백만 대에 사용되는 KCodes NetUSB 컴포넌트의 심각도 높은 취약점을 발견했습니다. KCodes NetUSB는 로컬 네트워크 내 기기가 IP를 통해 USB 기반 서비스를 제공할 수 있도록 하는 리눅스 커널 모듈입니다. 해당 드라이버를 사용하여 리눅스 기반 임베디드 시스템(예: 라우터)에 연결된 프린터, 외장 하드 드라이브, 플래시 드라이브를 네트워크를 통해 사용할 수 있습니다. SentinelOne이 공..

국내외 보안동향 2022. 1. 12. 14:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 해외 직구 쇼핑몰을 위장한 피싱 앱이 지속적으로 유포중에 있어 사용자들의 주의가 필요합니다. 해당 앱은 스미싱 문자를 통해 유포되는 것으로 추정되며, 이미 ESRC에서도 관련하여 포스팅 한 적이 있습니다. ▶ 해외결제를 위장한 스미싱 지속적 유포중! 이번에 발견된 앱들은 세계직구, 대성물류, LF몰 등 해외 직구앱을 위장하고 있습니다. 기존과 동일하게 모든 메뉴를 클릭하여도 로그인 페이지로 이동시켜 사용자로 하여금 계정 입력을 유도하며, 계정정보 입력 시 입력한 정보들은 공격자의 서버로 전송됩니다. 이전의 앱들과 달라진 점은, C2 방식이 기존의 Github에서 레딧 사이트로 변경되었으며, 레딧 사이트에서 공격자가 설정해 놓은 문자열을 파싱받아 오며, 문자..

악성코드 분석 리포트 2022. 1. 12. 13:51

New SysJocker backdoor targets Windows, macOS, and Linux 윈도우, 리눅스, 맥OS 모두에서 탐지를 회피할 수 있는 기능을 갖춘 새로운 다중 플랫폼 백도어 악성코드인 'SysJocker’가 발견되었습니다. 이는 Intezer의 연구원들이 2021년 12월 리눅스 기반 웹 서버에 대한 공격을 조사하던 중 처음으로 발견되었습니다. 해당 악성코드 샘플이 VirusTotal에 처음으로 업로드 된 시기는 2021년 상반기이며, 이는 C2 도메인 등록 시간과도 일치합니다. 보안 분석가들은 SysJoker에 대한 자세한 기술 보고서를 공개했습니다. 탐지를 피하는 조커 이 악성코드는 C++로 작성되었으며, 각 변종은 타깃 운영 체제에 맞게 조정되었지만 온라인 악성코드 검사 사..

국내외 보안동향 2022. 1. 12. 09:00

Linux version of AvosLocker ransomware targets VMware ESXi servers AvosLocker 랜섬웨어가 VMware ESXi 가상 머신을 노린 최근 악성코드 변종에 리눅스용 시스템 암호화 지원을 추가했습니다. BleepingComputer는 100만 달러의 랜섬머니를 요구를 받은 피해자가 적어도 한 명 발생한 사실을 인지하고 있다고 밝혔습니다. 몇 달 전, AvosLocker는 최신 랜섬웨어 변종인 Windows Avos2 및 AvosLinux를 광고하면서 파트너들에 구소련 및 CIS를 공격하지 말라고 경고했습니다. "새로운 변종(avos2 / avoslinux)은 경쟁업체에 비해 높은 성능과 많은 양의 암호화를 제공하는 두 가지 장점을 모두 갖추고 있습니다..

국내외 보안동향 2022. 1. 11. 14:00