안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 12월 12일~12월 18일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 128건이고 그중 악성은 27건으로 21.09%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 60건 대비 27건으로 33건이 감소했습니다. 일일 유입량은 하루 최저 7건(악성 3건)에서 최대 38건(악성 9건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 27건 중 Attach-Phishing형이 55.6%로 가장 많았고 뒤이어 Attach-Malware..

악성코드 분석 리포트 2021. 12. 21. 09:30

Log4j vulnerability now used to install Dridex banking malware 공격자들이 Apache Log4j의 치명적인 Log4Shell 취약점을 악용하여 취약한 장치를 악명 높은 Dridex 뱅킹 트로이 목마, Meterpreter로 감염시키고 있는 것으로 드러났습니다. Dridex 악성코드는 피해자로부터 온라인 뱅킹 크리덴셜을 훔칠 목적으로 개발된 뱅킹 트로이 목마입니다. 하지만 시간이 지남에 따라 이 악성코드는 추가 페이로드 설치, 다른 장치로의 확산, 스크린샷 촬영 등 같은 다양한 공격을 수행하는 모듈을 다운로드하는 로더로 진화했습니다. Dridex는 Evil Corp 해킹 그룹과 관련된 것으로 추정되는 작업에서 랜섬웨어 공격으로 이어지기도 합니다. BitPa..

국내외 보안동향 2021. 12. 21. 09:00

Apache releases the third patch to address a new Log4j flaw Apache Software Foundation(ASF)이 log4j 2.16의 심각도 ‘높은’ 서비스 거부(DoS) 취약점인 CVE-2021-45105를 수정하기 위해 일주일 만에 세 번째 버전(버전 2.17.0)을 출시했습니다. 재단은 CVE-2021-45046 취약점이 처음에는 심각도 낮음(3.7)으로 평가되었지만, 전문가들이 두 번째 패치를 우회하는 새로운 방법을 찾았기 때문에 심각도 수준을 ‘치명적’ (9.0)로 높였다고 발표했습니다. CVE-2021-45105 취약점은 CVSS 점수 7.5를 받았으며, log4j 2.16에 영향을 미치는 서비스 거부(DoS) 취약점입니다. 전문가들은 버전..

국내외 보안동향 2021. 12. 20. 14:00

Conti ransomware uses Log4j bug to hack VMware vCenter servers Conti 랜섬웨어가 치명적인 Log4Shell 익스플로잇을 악용해 내부 VMware vCenter Server 인스턴스에 빠르게 접근하여 가상 머신을 암호화하는 것으로 나타났습니다. 이 그룹은 새로운 공격 벡터를 채택하는 데 오랜 시간을 고민하지 않았습니다. 이들은 Log4j 취약점을 무기화한 것으로 알려진 최초의 "탑 티어" 악성코드입니다. 공격의 표적이 된 취약한 vCenter CVE-2021-44228(Log4Shell)에 대한 PoC 익스플로잇이 지난 12월 9일 공개되었습니다. 하루 후 여러 공격자는 취약한 시스템을 찾기 위해 대규모로 인터넷을 탐색하기 시작했습니다. 이 취약점을 가..

국내외 보안동향 2021. 12. 20. 09:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. Logback 제품에서 취약점(CVE-2021-42550)이 보고되어 사용자들의 주의가 필요합니다. Logback(로그백) 이란? Java의 로깅 라이브러리인 Log4j를 기반으로 개발된 로깅 프레임워크 이번 Logback 취약점의 경우 특정한 전제 조건이 우선적으로 성립되어야만, 해당 취약점을 이용한 공격이 가능하기 때문에 위험도가 높다고 보긴 어렵습니다. 다만, 또 다른 침해사고와 연계된 공격에 악용될 소지를 모두 배제할 수는 없기 때문에 가급적 최신 보안 업데이트를 권장해 드립니다. 보안 취약점 내용 Logback의 설정 파일에 접근 및 쓰기권한을 가진 공격자가 JMSAppender를 통해 JNDI lookup을 실행이 가능하여 원격코드..

국내외 보안동향 2021. 12. 17. 15:54

[12월 세 번째 주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No. 문자내용 1 [CJ대한통운]고객님 택배 배송 불가, 바로 주소 변경 부탁드립니다.[ xxx.xxxxxxxx[.]top/xxx ] 2 0000고객님 안녕하세요 택배 배송 불가 오류 주소 부정확 배송 불가 즉시 주소 변경:[ xx.xxxxxxxx[.]pro/xxxx 3 [CJ택배 ]고객님 택배 배송 불가 주소 오류 즉시 주소 변경:[ xx.xxxxxxxx[.]top/xxxx ] 4 [Web발신][OO저축은행]저금리 신용대출, 무방문 빠른 당일한도조회,합리적인 금리와 높은 한도! 지금..

안전한 PC&모바일 세상/스미싱 알림 2021. 12. 17. 14:04

While attackers begin exploiting a second Log4j flaw, a third one emerges 미국 웹 인프라 및 웹 사이트 보안 회사인 Cloudflare가 공격자들이 Log4j 라이브러리의 두 번째 취약점인 CVE-2021-45046을 활발히 악용 시도 중이라 경고했습니다. CVE-2021-45046은 CVSS 점수 3.7을 받았으며 Log4j 버전 2.0-beta9 ~ 2.12.1 및 2.13.0 ~ 2.15.0(CVE-2021-44228을 수정하기 위해 공개됨)에 영향을 미칩니다. ASF(Apache Software Foundation)는 이미 Log4Shell 취약점(CVE-2021-44228)에 대한 패치를 공개했지만, 이 수정 사항은 기본 구성이 아닌 특..

국내외 보안동향 2021. 12. 17. 14:00

New Fileless Malware Uses Windows Registry as Storage to Evade Detection 소셜 엔지니어링 기법을 사용한 캠페인을 통해 전파되는 새로운 JavaScript 기반 원격 액세스 트로이 목마(RAT)이 "파일리스" 기술을 통해 탐지를 회피하는 것으로 나타났습니다. Prevailion의 연구원들이 ‘DarkWatchman’이라 명명한 이 악성코드는 탄력적 도메인 생성 알고리즘(DGA)을 사용하여 명령 및 제어(C2) 인프라를 식별하고, 윈도우 레지스트리를 활용하여 모든 스토리지 관련 작업을 수행합니다. 따라서 안티바이러스 엔진을 우회하는 것이 가능합니다. 연구원인 Matt Stafford와 Sherman Smith는 이에 대해 아래와 같이 밝혔습니다. "이..

국내외 보안동향 2021. 12. 17. 09:00