안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. TA551(Shathak이라고도 함)은 2019년부터 피싱 이메일을 통해 꾸준히 악성코드를 배포하고 있습니다. TA551 그룹은 지난 몇 년 동안 Ursnif, Valak 및 IcedID 등의 다양한 맬웨어 계열을 유포했으나, 2021년 6월부터는 IcedID 유포를 중단하고 Trickbot을 유포하기 시작했습니다. TA551은 2021년 8월부터는 Trickbot 배포를 중단하고 BazarLoader를 배포하기 시작했습니다. TA551은 여러 해 동안 다양한 악성코드를 배포하였으나, 최근에는 Bazar 악성코드를 배포하기 시작하였으며 Bazar 악성코드는 탐지 회피 및 은폐에 중점을 두고 있는 악성코드입니다. 악성코드 제작자는 코드를 최..

악성코드 분석 리포트 2021. 12. 16. 09:00

Google fixed the 17th zero-day in Chrome since the start of the year 구글이 실제 공격에서 악용되는 심각도 높은 제로데이 취약점인 CVE-2021-4102를 포함한 크롬 웹 브라우저의 취약점 5가지를 수정하는 보안 업데이트를 공개했습니다. CVE-2021-4102 취약점은 V8 JavaScript 및 WebAssembly 엔진의 use-after-free 이슈로 이를 악용할 경우 임의 코드 실행 또는 데이터 손상이 유발될 수 있습니다. 구글은 "CVE-2021-4102에 대한 익스플로잇이 실제 공격에 사용된다는 제보를 받았다"고 밝혔지만 공격에 대한 추가적인 정보는 공개하지 않았습니다. 이 취약점은 2021년 12월 9일 익명의 연구원이 제보했습니다...

국내외 보안동향 2021. 12. 15. 14:00

2021년 12월 MS 보안패치가 공개되었습니다. 이번 패치에는 권한상승취약점 21개, 원격코드실행취약점 26개, 정보유출취약점 10개, 서비스 거부 취약점 3개, 스푸핑 취약점 7개가 포함되어 있습니다. 또한 이번 패치에는 현재 활발히 악용중인 Windows Installer 취약점(CVE-2021-43883)을 포함한 6개의 제로데이 취약점 패치도 포함되어 있어 사용자들의 빠른 업데이트를 권고 드립니다. 이번 업데이트에 포함된 6개 제로데이 취약점 CVE-2021-43890 : Windows AppX 인스톨러 스푸핑 취약점 CVE-2021-43240 : NTFS 짧은 이름 권한 상승 취약점 CVE-2021-41333 : Windows 인쇄 스풀러 권한상승 취약점 CVE-2021-43880 : Wind..

국내외 보안동향 2021. 12. 15. 13:49

Hackers exploit Log4Shell to drop Khonsari Ransomware on Windows systems Bitdefender의 연구원이 공격자가 Log4Shell 취약점(CVE-2021-44228)을 악용하여 윈도우 시스템에 새로운 Khonsari 랜섬웨어를 배포하려 시도하는 것을 발견했습니다. 공격자는 Log4Shell 원격 코드 실행 취약점을 악용하여 원격 서버에서 타깃 시스템 내 파일을 암호화하고, 각 파일에 확장명 .khonsari를 추가하는 .NET 바이너리를 다운로드 합니다. 또한 이 악성코드는 랜섬머니를 비트코인으로 지불할 것을 요청하는 랜섬노트를 드롭합니다. 랜섬노트는 "C:\Users\\Desktop\HOW TO GET YOUR FILES BACK.TXT"에 위..

국내외 보안동향 2021. 12. 15. 09:00

Two Linux botnets already exploit Log4Shell flaw in Log4j NetLab 360의 연구원들이 그들의 Anglerfish 및 Apacket 허니팟이 Log4j 라이브러리의 Log4Shell 취약점을 촉발시키려 시도하는 공격을 받았다고 밝혔습니다. 해당 공격은 Linux 기기를 노리는 Muhstik 및 Mirai 봇넷이 수행했습니다. 연구원들이 발견한 공격을 수행한 Mirai 변종은 초기 코드와 비교했을 때 아래 사항이 변경되었습니다: 1. table_init/table_lock_val/table_unlock_val 및 기타 mirai 관련 구성 관리 기능이 제거됨 2. attack_init 함수를 버리고 ddos ​​공격 함수는 명령 처리 함수에 의해 직접 호출됨..

국내외 보안동향 2021. 12. 14. 14:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 12월 05일~12월 11일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 175건이고 그중 악성은 60건으로 34.29%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 47건 대비 60건으로 13건이 증가했습니다. 일일 유입량은 하루 최저 4건(악성 7건)에서 최대 64건(악성 28건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 60건 중 Attach-Malware형이 48.3%로 가장 많았고 뒤이어 Attach-Phishin..

악성코드 분석 리포트 2021. 12. 14. 09:30

TinyNuke info-stealing malware is again attacking French users 인포 스틸링 악성코드인 TinyNuke가 프랑스 사용자들을 노리는 새로운 캠페인을 통해 재등장했습니다. 이들은 제조, 기술, 건설, 비즈니스 서비스의 개인 및 회사 이메일 주소로 인보이스로 위장한 피싱 이메일을 전송했습니다. 이 캠페인의 목표는 크리덴셜 및 기타 개인 정보를 훔치고 해킹된 시스템에 추가 페이로드를 설치하는 것입니다. TinyNuke의 재등장 TinyNuke 악성코드는 2017년에 처음 발견되어 2018년 정점에 이르렀다가 2019년에 크게 감소했으며 2020년에는 거의 사라졌습니다. 해당 캠페인을 분석한 Proofpoint의 연구원은 이 악성코드가 두 세트로 이루어진 별도의 C..

국내외 보안동향 2021. 12. 14. 09:00

BlackCat: A New Rust-based Ransomware Malware Spotted in the Wild 최초의 Rust 언어 기반 랜섬웨어 변종이 지난 달 활동을 시작해 실제 공격을 통해 이미 여러 국가에서 피해자를 발생시킨 것으로 나타났습니다. 이 랜섬웨어의 이름은 BlackCat으로, MalwareHunterTeam이 발견해 공개했습니다. 연구원들은 트위터를 통해 아래와 같이 설명했습니다. "피해자는 비트코인이나 모네로로 랜섬머니를 지불할 수 있습니다." "또한 이들은 협상을 위해 중개자에게 크리덴셜을 제공하는 것으로 보입니다." BlackCat은 이전에 등장한 많은 다른 변종과 유사하게 서비스형 랜섬웨어(RaaS: ransomware-as-a-service)의 형식을 따릅니다. 코어 ..

국내외 보안동향 2021. 12. 13. 14:00