North Korea-linked Lazarus group targets cybersecurity experts with Trojanized IDA Pro ESET 연구원들이 북한과 관련 있는 APT 그룹인 Lazarus가 인기 있는 IDA Pro 리버스 엔지니어링 소프트웨어를 트로이목마화 시켜 사이버 보안 커뮤니티를 노리고 있다고 밝혔습니다. 공격자는 IDA Pro 7.5 소프트웨어에 악성 컴포넌트 2가지를 묶었습니다. ESET은 트위터를 통해 아래와 같이 밝혔습니다. “공격자들은 IDA Pro 설치 시 실행되는 내부 컴포넌트인 win_fw.dll을 악성 DLL로 바꿔치기했습니다. 악성 win_fw.dll은 IDA 플러그인 폴더에서 두 번째 악성 컴포넌트인 idahelper.dll을 시작하는 윈도우 예..

국내외 보안동향 2021. 11. 16. 14:00

Hadoop Yarn RPC 무단접근 취약점이 발견되었습니다. 해당 취약점을 악용하면 Hadoop Yarn의 기본적으로 외부로 개방된 RPC 서버에서 임의 명령실행이 가능하여 서버를 장악할 수 있습니다. Hadoop Yarn은 Hadoop의 핵심 모듈중 하나로, 다양한 응용 프로그램을 실행하기 위해 다양한 클러스터에 리소스를 할당하고 다른 클러스터 노드에서 작업 실행을 예약합니다. CVE번호 미정 취약한 버전 Apache Hadoop 모든 버전 패치방법 현재 패치 공개되지 않음 임시조치방법 Kerberos 인증 기능 활성화를 통한 미인증 사용자 접근 차단 만일 외부접근이 필요없을 경우, 외부와 연결된 Hadoop RPC 서버관련 포트 차단 / 혹은 신뢰할 수 있는 주소만 접근 허용 참고 : https:/..

국내외 보안동향 2021. 11. 16. 13:50

Emotet malware is back and rebuilding its botnet via TrickBot Emotet 악성코드는 스팸 캠페인과 악성파일 첨부를 통하여 악성코드를 유포합니다. 그 후 감염된 장치를 이용하여 다른 스팸 캠페인을 수행하고 QakBot(Qbot) 및 Trickbot 악성코드와 같은 다른 페이로드를 설치합니다. 이러한 페이로드는 공격자에게 초기 액세스를 제공하여 Ryuk, Conti, ProLock, Egregor 및 기타 여러 랜섬웨어를 배포하는데 사용됩니다. 올해 초, Europol과 Eurojust는 Emotet 인프라를 인수하고 2명을 체포하였습니다. 그리고 4월 25일, 감염된 장치에서 Emotet을 삭제하는 모듈을 제공했습니다. 그리고 최근 보안연구원들은 Trick..

국내외 보안동향 2021. 11. 16. 10:41

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 10월 31일~11월 06일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 163건이고 그중 악성은 54건으로 33.13%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 51건 대비 54건으로 3건이 증가했습니다. 일일 유입량은 하루 최저 3건(악성 1건)에서 최대 39건(악성 12건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 54건 중 Attach-Malware형이 46.3%로 가장 많았고 뒤이어 Attach-Phishing..

악성코드 분석 리포트 2021. 11. 16. 09:30

7 million Robinhood user email addresses for sale on hacker forum 최근 데이터 유출 사고가 발생해 도난당한 Robinhood 사용자 약 700만명의 데이터가 유명 해킹 포럼 및 마켓에서 판매되고 있었던 것으로 나타났습니다. 지난 주 Robinhood는 직원 중 한 명이 해킹을 당한 후 데이터 유출이 발생했다고 밝혔으며, 고객은 해당 계정을 통해 고객 지원 시스템에 접근해 약 700만 고객의 정보에 접근한 것으로 드러났습니다. 공격 중에 도난당한 데이터에는 아래와 같은 Robinhood 사용자의 개인 정보가 포함됩니다. - 500만 고객의 이메일 주소 - 또 다른 고객 200만명의 성명 - 300명의 이름, 생년월일, 우편번호 - 10명의 자세한 계정 관..

국내외 보안동향 2021. 11. 16. 09:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 국내 백신접종률이 78%를 넘어서고 이미 접종을 마친 국민들을 대상으로 부스터샷도 진행되고 있습니다. 이러한 분위기를 악용하여, 국민비서를 사칭한 피싱 메일이 유포되고 있어 사용자들의 각별한 주의가 필요합니다. 국민비서를 사칭한 피싱 메일에 대해 ESRC에서는 이미 주의를 권고한 바 있습니다. ▶ 지속적으로 유포되고 있는 네이버 고객센터 사칭 피싱 메일 주의! (21.10.07) 이번에 발견된 국민비서 사칭 피싱메일 역시 기존에 유포되던 이메일과 동일합니다. 다만, 많은 국민들이 1차 백신접종이 완료된 점을 고려하여 피싱메일 내용을 2차예약확인 안내라고 변경하여 유포중입니다. 확인하기를 누르면, 실제 네이버 로그인 페이지처럼 위장한 피싱 페이지로 이동..

악성코드 분석 리포트 2021. 11. 15. 15:39

Retail giant Costco discloses data breach, payment card data exposed 대형 소매업체인 코스트코가 데이터 유출 사고가 발생했음을 알렸습니다. 해당 사고로 인해 결제 카드 정보가 노출되었을 수 있으며, 고객이 코스트코 매장 중 한 곳에서 쇼핑했을 경우 데이터가 노출된 것으로 추정됩니다. 이 사고는 코스트코의 직원이 정기 점검을 진행하던 중 창고 중 한 곳에서 카드 스키밍 장치를 찾아내 발견하게 되었습니다. 회사는 법 집행 기관의 도움을 받아 사건을 조사하고 있으며 당국에 이를 신고했습니다. 이 대규모 소매업체는 미국 전역에 737개의 회원 전용 소매점을 운영하고 있으며, 총 매출 기준으로 세계에서 5번째이자 미국에서 10번째로 큰 기업입니다. 또한 이 회..

국내외 보안동향 2021. 11. 15. 14:00

New evolving Abcbot DDoS botnet targets Linux systems Qihoo 360의 Netlab 보안 팀 연구원들이 리눅스 시스템을 노려 분산 서비스 거부(DDoS) 공격을 실행하는 새로운 봇넷인 ‘Abcbot’을 발견했습니다. 이 보안 회사는 현재까지 봇넷 총 6가지 버전을 분석했습니다. 2021년 7월 14일, 이 전문가들은 리눅스 시스템을 대규모로 스캔하는 알려지지 않은 ELF 파일을 확인했으며, 분석 결과 이는 Go 언어로 구현한 스캐너인 것으로 나타났습니다. 연구원들을 Abcbot이라는 이름을 소스 경로의 "abc-hello"에서 따왔습니다. Abcbot의 소스 경로에 "dga.go" 문자열이 있다는 것은, 제작자가 후속 버전에서 DGA를 구현할 것임을 나타냅니다..

국내외 보안동향 2021. 11. 15. 09:00