The Toronto Transit Commission (TTC) hit by a ransomware attack 토론토의 교통 위원회(TTC)가 지난 금요일 시스템이 랜섬웨어에 감염되었다고 발표했습니다. 해당 공격은 목요일 밤에 시작되어 TTC의 운영을 방해했습니다. TTC가 어떤 랜섬웨어에 감염되었는지는 아직까지 공개되지 않았습니다. TTC의 대변인인 Stuart Green은 처음에는 이 공격이 대중교통 서비스에 큰 영향을 미치지 않았다고 밝혔지만, 금요일 이후 상황이 악화되었습니다. 해당 기관에서는 보도 자료를 발행해 아래와 같이 밝혔습니다. “금요일 정오에 해커들이 네트워크 서버에 대한 공격을 확대하기 전까지는 이 공격이 끼치는 영향은 미미했습니다.” 이 보안 사고는 기관의 내부 이메일 서버, W..

국내외 보안동향 2021. 11. 3. 14:00

Alert! Hackers Exploiting GitLab Unauthenticated RCE Flaw in the Wild 연구원들이 지금은 패치된 GitLab 웹 인터페이스의 치명적인 원격 코드 실행(RCE) 취약점이 실제 공격에 활발히 악용되고 있다고 경고했습니다. 현재 인터넷에 노출된 GitLab 인스턴스 다수가 공격에 취약한 상태가 되었습니다. CVE-2021-22205로 등록된 이 취약점은 사용자가 제공한 이미지의 유효성을 적절히 검증하지 않아 임의 코드 실행으로 이어지는 문제입니다. 이 취약점은 11.9부터 모든 버전에 영향을 미치며, 2021년 4월 14일 GitLab 버전 13.8.8, 13.9.6, 13.10.3에서 수정되었습니다. 지난 달 HN Security에서 자세히 설명한 실제 ..

국내외 보안동향 2021. 11. 3. 09:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 접속 시 자동으로 파일이 다운로드 되는 도박사이트가 발견되어 사용자들의 주의가 필요합니다. 해당 홈페이지들은 사행성 도박게임을 할 수 있는 홈페이지로, 다수의 홈페이지에서 동일한 파일이 내려오는 것이 확인되었습니다. 해당 파일은 iframe으로 페이지 내 삽입되어 있으며, 자동으로 내려온 vcredist_2010.exe 파일을 실행하면 추가로 RuntimeBroker.exe 파일을 C:\Windows\SysWOW64폴더 하위에 저장하고 자동으로 실행합니다. 자동으로 실행 된 RuntimeBroker.exe 파일은 컴퓨터 명, IP, MAC주소, 현재 상태 등을 포함하여 서버에 주기적으로 전송합니다. 또한 추가로 파일 다운로드를 시도하나 공격자의 서버 문제로..

악성코드 분석 리포트 2021. 11. 2. 16:07

HelloKitty ransomware gang also targets victims with DDoS attacks FBI가 HelloKitty 랜섬웨어 그룹 (FiveHands로도 알려짐)의 새로운 기능에 대해 플래시 경보를 발행했습니다. 경고에 따르면, 해당 랜섬웨어 공격자는 분산 서비스 거부(DDoS) 공격을 실행하고 있었습니다. “Hello Kitty/FiveHands 공격자는 보통 이중 갈취 기법을 통해 피해자를 공격적으로 협박했습니다. 피해자가 신속하게 대응하지 않거나 랜섬머니를 지불하지 않을 경우 공격자는 피해자 회사의 공개 웹사이트에 분산 서비스 거부(DDoS) 공격을 실행합니다.” 랜섬웨어 그룹은 랜섬머니 지불을 거부할 경우 피해자의 웹사이트에 DDoS 공격을 실행했습니다. HelloK..

국내외 보안동향 2021. 11. 2. 14:00

안녕하세요? 이스트시큐리티입니다. 북한 정부가 배후로 추정되는 해킹 조직의 전방위적인 사이버 공격이 계속되고 있습니다. 국내에서도 북한 관련 기관과 대북 분야 종사자를 노린 공격이 연이어 발견되는 가운데, 국가 차원의 통합 사이버 안보 대응 체계가 구축될 것인지 귀추가 주목됩니다. 이에 이스트시큐리티 시큐리티대응센터(ESRC) 문종현 센터장과 한 언론매체가 대한민국 사이버 안보의 현주소에 대해 심층깊은 토론을 나누어보았는데요. 지금 바로 소개해드립니다. Q. 사이버 안보 분야에서 20년 넘게 연구를 이어오고 있다. 연구를 시작하게 된 계기는 무엇인가? 바이러스와 개발자에 대한 첫 호기심이 생긴 건 1996년 컴퓨터가 바이러스에 감염되면서부터다. 이후 2001년, 온라인 채팅에서 본인을 북한 인민무력부 8..

알약人 이야기 2021. 11. 2. 13:37

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 10월 24일~10월 30일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 161건이고 그중 악성은 51건으로 31.68%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 29건 대비 51건으로 22건이 증가했습니다. 일일 유입량은 하루 최저 11건(악성 4건)에서 최대 40건(악성 17건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 51건 중 Attach-Malware형이 33.3%로 가장 많았고 뒤이어 Link-Malware형..

악성코드 분석 리포트 2021. 11. 2. 10:30

Researchers Uncover 'Pink' Botnet Malware That Infected Over 1.6 Million Devices 사이버 보안 연구원들이 지난 6년 동안 실제 공격에서 발견된 "규모가 가장 큰 봇넷"에 대한 세부 정보를 공개했습니다. 이 봇넷은 주로 중국에 위치한 기기 160만대 이상을 감염시켰습니다. 목적은 분산 서비스 거부(DDoS) 공격을 실행하고, 주의가 부족한 사용자들이 방문하는 HTTP 웹사이트에 광고를 삽입하는 것입니다. Qihoo 360의 Netlab 보안 팀은 이 봇넷을 "Pink"라 명명했습니다. 2019년 11월 21일 발견한 샘플에 "pink"로 시작하는 함수 이름이 많았기 때문입니다. 주로 MIPS 기반 광섬유 라우터를 노리는 이 봇넷은 봇과 컨트롤러..

국내외 보안동향 2021. 11. 2. 09:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 이메일 내 링크가 포함된 이미지를 통하여 악성코드를 유포중인 악성 메일이 확인되어 사용자들의 주의가 필요합니다. 이번에 발견된 악성메일은 첨부문서 라는 제목으로 유포되고 있습니다. 해당 이메일을 클릭하면 어떠한 내용도 없이 이미지 파일이 포함되어 있습니다. 해당 이미지에는 링크가 포함되어 있으며, 해당 링크를 클릭 시 압축파일이 다운로드 됩니다. 해당 파일의 압축을 해제하면 .scr 확장자를 가진 파일을 확인할 수 있습니다. 해당 파일의 확장자는 .scr 파일이지만, 실제로는 압축파일로 압축파일 내에는 다음과 같이 여러개의 파일들이 포함되어 있습니다. 하지만 사용자는 압축파일인지 확인하기는 힘들며, 다운로드 된 .scr 파일을 더블클릭하면 자신을 레지스트리..

악성코드 분석 리포트 2021. 11. 1. 17:23