안녕하세요. ESRC(시큐리티 대응센터)입니다. 광고수익을 노리는 스미싱이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 스미싱은 코로나 백신 접종예약통지서 발송 완료의 내용과 함께 단축 URL이 포함되어 있습니다 해당 스미싱 내 단축 URL을 클릭하면 특정 홈페이지 내 특정 페이지로 접속됩니다. 접속되는 페이지에는 스미싱과 관련된 내용과 함께 주의점도 함께 포함되어 있습니다. 하지만, 페이지 내 광고가 포함되어 있는 것으로 보아 게시물에 포함된 광고의 노출을 높여 광고수익을 올리려는 것으로 추측됩니다. 실제로 해당 게시판 내에는 여러 게시글이 올라와있지만, 해당 게시물의 조회수가 특히나 높은 것을 알 수 있습니다. 해당 게시물은 스미싱 문자 내 링크를 클릭하면 이동하는 게시물 입니다. 최근 광고..

악성코드 분석 리포트 2021. 9. 30. 14:48

New Android malware steals millions after infecting 10M phones 공격자가 대규모 악성코드 캠페인을 통해 70개 이상의 국가에서 안드로이드 기기 천만 대 이상을 감염시켜 사용자가 모르는 사이 유료 서비스에 가입하여 수백만 달러를 훔쳤을 가능성이 있는 것으로 나타났습니다. 위 공격에 사용된 트로이목마인 GriftHorse는 이 불법 글로벌 유료 서비스 캠페인을 처음 발견한 Zimperium zLabs 연구원이 발견했습니다. 이 캠페인은 악성 앱이 마지막으로 업데이트된 날짜인 2020년 11월부터 2021년 4월까지 약 5개월 동안 활성화되었습니다. 이 악성코드는 구글의 공식 플레이스토어와 타사 앱스토어에 등록된 트로이목마 안드로이드 애플리케이션 200개 이상을..

국내외 보안동향 2021. 9. 30. 14:00

New Tomiris backdoor likely developed by SolarWinds hackers Kaspersky의 보안 연구원들이 지난해 발생한 SolarWinds 공급망 공격의 배후에 있는 Nobelium 해킹 그룹이 개발했을 가능성이 있는 새로운 백도어를 발견했습니다. Tomiris라는 이 새로운 악성코드는 지난 6월 처음 발견되었습니다. 하지만 첫번째 샘플은 FireEye가 Sunshuttle을 발견하고 배후로 Nobelium을 지목하기 한 달 전인 2021년 2월 실제 공격을 통해 배포되었습니다. Tomiris는 2020년 12월부터 2021년 1월 사이에 CIS 회원국의 여러 정부를 노린 일련의 DNS 하이재킹 공격을 조사하던 중 발견되었습니다. 피해자는 공격자가 이메일 자격 증명을..

국내외 보안동향 2021. 9. 30. 09:00

FinFisher malware hijacks Windows Boot Manager with UEFI bootkit 상용으로 개발된 FinFisher 악성코드가 윈도우 부트 매니저에 삽입하는 UEFI 부트킷을 통해 윈도우 기기를 감염시킬 수 있는 것으로 나타났습니다. FinSpy, Wingbird라고도 불리는 FinFisher는 Gamma Group에서 개발한 감시 솔루션으로 스파이웨어 변종에서 흔히 찾아볼 수 있는 악성코드와 유사한 기능도 함께 제공합니다. 개발자는 이 제품이 전 세계 정부 기관 및 법 집행 기관에 독점적으로 판매되고 있다고 밝혔지만, 사이버 보안 회사들은 해당 제품이 스피어피싱 캠페인과 인터넷 서비스 제공업체(ISP)의 인프라를 통해 전달되는 것 또한 발견했습니다. 강력한 회피 및 지..

국내외 보안동향 2021. 9. 29. 14:00

Trend Micro가 ServerProtect 솔루션에 영향을 미치는 심각한 인증 우회 취약점을 해결했습니다. Trend Micro ServerProtect는 기업 인프라에 대한 포괄적인 실시간 보호를 제공하여 악성코드, 스파이웨어, 기타 웹 위협의 표적이 되는 것을 방지하는 솔루션입니다. CVE-2021-36745로 추적되는 해당 취약점은 CVSS 점수 9.8을 받았습니다. 원격 공격자는 CVE-2021-36745 취약점을 악용하여 취약한 설치에 대한 인증을 우회할 수 있습니다. 이 취약점은 인증 전에 적절한 유효성 검사가 이루어지지 않았기 때문에 발생합니다. CVE-2021-36745은 Cyber ​​Defense Institute의 Yuto Maeda가 Trend Micro의 Zero Day In..

국내외 보안동향 2021. 9. 29. 11:20

A complete PoC exploit for CVE-2021-22005 in VMware vCenter is available online VMware vCenter에 존재하는 CVE-2021-22005 취약점에 대한 익스플로잇이 공개되어 공격자가 이미 이를 악용하려 시도하고 있는 것으로 나타났습니다. VMware는 최근 치명적인 임의 파일 업로드 취약점인 CVE-2021-22005를 수정했습니다. 이는 기본 vCenter Server 6.7 및 7.0을 사용하는 어플라이언스에 영향을 미칩니다. vCenter Server는 VMware용 중앙 집중식 관리 유틸리티로 단일 센터에서 가상 머신, ESXi 호스트 다수, 모든 종속 구성 요소를 관리할 수 있습니다. 위 취약점은 세션 토큰을 처리하는 방식 때..

국내외 보안동향 2021. 9. 29. 09:00

New Android Malware Steals Financial Data from 378 Banking and Wallet Apps 최신 연구에 따르면 BlackRock 모바일 악성코드의 운영자가 ERMAC라는 새로운 안드로이드 뱅킹 트로이목마로 다시 활동을 시작해 폴란드 지역을 노리고 있는 것으로 나타났습니다. 이 트로이목마는 악명 높은 Cerberus 악성코드를 기반으로 제작됐습니다. ThreatFabric의 CEO인 Cengiz Han Sahin은 이메일을 통해 "이 새로운 트로이목마는 이미 활발한 캠페인을 통해 배포 중이며 오버레이가 있는 은행 및 지갑 앱 378건을 노린다"고 밝혔습니다. ERMAC을 사용한 첫 번째 캠페인은 지난 8월 말 시작되었으며 구글 크롬 앱으로 위장했습니다. 이후 공격..

국내외 보안동향 2021. 9. 28. 14:00

사이버 보안 회사인 Shielder의 연구원에 의해 Visual Studio Code Remote Development Extension 버전 1.50이 ssh 명령의 인수로 전달된 호스트 필드를 삭제하지 못한다는 사실이 발견되었습니다. CVE-2020-17148으로 등록된 해당 취약점을 악용할 경우, 공격자는 임의 명령을 실행할 수 있는 ProxyCommand 옵션을 주입할 수 있습니다. Visual Studio Code Development Extension을 통해 사용자는 컨테이너, 원격 시스템 또는 Linux용 Windows 하위 시스템(WSL)을 완전한 기능을 갖춘 개발 환경으로 채택할 수 있습니다. 해당 취약점을 악용하기 위해 공격자는 Visual Studio Code Remote Develo..

국내외 보안동향 2021. 9. 28. 11:35