안녕하세요. ESRC(시큐리티 대응센터)입니다. 비너스락커 조직이 이력서를 위장하여 Makop랜섬웨어를 지속적으로 유포하고 있으며, 다만 랜섬웨어를 첨부하는 형태가 조금씩 바뀌고 있습니다. 이번에 발견된 악성 메일 역시 이력서를 위장하고 있습니다. 얼마 전 ESRC에서 포스팅 한 비너스락커 조직 관련 포스팅 역시 이력서를 위장하고 있었습니다. 당시 악성 메일에 첨부되어 있는 압축 파일 내에는, 한글 파일로 위장한 Makop 랜섬웨어가 포함되어 있어 사용자들의 클릭을 유도하였습니다. 이번에 발견된 악성 메일 내에도 역시 첨부파일이 포함되어 있습니다. 다만, 이번에는 압축파일을 또 한번 압축한 이중압축 방식을 이용하여 보안시스템을 우회하고자 하였습니다. zip 파일 안에 있는 alz 파일 내에는 이력서를 위..

악성코드 분석 리포트 2021. 9. 14. 16:28

안녕하세요? 이스트시큐리티입니다. 추석 연휴 기간 사이버 보안 피해를 예방하기 위해 개인과 기업에서 지켜야 할 ‘정보보호수칙’을 공유드립니다. 대다수 직원들이 자리를 비우는 연휴 기간을 통해 다양한 수법의 악성코드 공격이 발생할 수 있기 때문에 안전한 명절을 보내기 위해서는 사전 대비가 필요합니다. 이스트시큐리티 ESRC에서는 개인 사용자와 기업 및 기관 보안 담당자들이 지켜야 할 정보보호 수칙 5가지를 공유드립니다. 개인 사용자 1. 택배 및 코로나 관련 스미싱 URL 클릭 주의 코로나19 확산세가 장기화되면서 올해 추석은 ‘비대면 추석’이 될 가능성이 높습니다. 이로 인해 ‘택배’ 혹은 ‘코로나19’ 관련 테마를 활용한 스미싱 공격도 증가할 것으로 예상됩니다. 스미싱 공격은 휴대전화 SMS를 통해 유..

전문가 기고 2021. 9. 14. 15:06

안녕하세요? 이스트시큐리티 ESRC 입니다. 어느덧 여름 무더위가 지나고 추석 연휴가 다가오고 있습니다. 모두 풍성한 한가위가 되시길 바랍니다. 추석이 다가오면서 코로나로 힘든 시기에 오랜만에 가족 분들과 담소를 나누시거나 긴 연휴기간을 이용하여 휴식을 취하시는 분들도 계실 텐데요.이런 행복한 날인 추석에도 명절이라는 키워드를 악용한 여러 스미싱이 있다는 점, 알고 계셨나요? 올해 8월까지 집계된 스미싱 건수는 14만 건이 넘으며, 추석을 앞두고 '택배', '5차 긴급재난지원금', '추석 선물/기프티콘 도착' 등의 키워드를 사용한 스미싱 건수가 더욱 증가할 것으로 보입니다. 스마트폰 사용자 여러분들께서는 이러한 유형의 문자를 수신할 경우, 메시지 안에 포함된 링크를 클릭하지 않도록 주의하시기 바랍니다. ..

전문가 기고 2021. 9. 14. 14:59

Apple fixes actively exploited FORCEDENTRY zero-day flaws 애플이 iOS 및 macOS에 존재하는 제로데이 취약점인 CVE-2021-30860, CVE-2021-30858을 수정하기 위한 보안 패치를 출시했습니다. 또한 해당 취약점이 실제 공격에서 활발히 악용되고 있다고 경고했습니다. 지난 8월, Citizen Lab의 연구원들은 NSO Group의 Pegasus 스파이웨어를 바레인 활동가의 기기에 배포하는 데 사용된 제로클릭 iMessage 익스플로잇을 발견했습니다. 바레인 인권 센터, Waad, Al Wefaq의 회원을 포함한 활동가 9명의 iPhone이 LULU로 명명된 감시 작업의 일환으로 Pegasus 스파이웨어에 감염되었으며, 이는 바레인 정부의 작..

국내외 보안동향 2021. 9. 14. 14:00

JavaScript 프로그래밍 언어용으로 널리 사용되는 NPM 패키지 'Pac-Resolver'가 HTTP 요청이 전송될 때마다 Node.js 애플리케이션 내부에서 악성코드를 실행하는 데 악용될 수 있는 심각도가 높은 원격 코드 실행 취약점을 수정했습니다. CVE-2021-23406으로 추적되는 이 취약점은 CVSS 취약점 점수 시스템에서 심각도 등급이 8.1이며 Pac-Resolver 5.0.0 이전 버전에 영향을 미칩니다. 프록시 자동 구성(PAC) 파일은 웹 브라우저 요청을 대상으로 직접 라우팅해야 하는지 아니면 지정된 호스트 이름에 대해 웹 프록시 서버로 전달해야 하는지를 결정하는 JavaScript 기능입니다. PAC 파일은 프록시 규칙이 엔터프라이즈 환경에서 배포되는 방식입니다. NPM 패키지..

국내외 보안동향 2021. 9. 14. 11:40

New SpookJS Attack Bypasses Google Chrome's Site Isolation Protection 새롭게 발견된 사이드 채널 공격이 무기화되어 구글 크롬 및 크로미움 브라우저에 적용된 사이트 격리 보호를 성공적으로 우회하고 Spectre 유형의 추측 실행 공격을 통해 민감 데이터를 유출할 수 있는 것으로 나타났습니다. University of Michigan, University of Adelaide, Georgia Institute of Technology, Tel Aviv University의 연구원들이 'Spook.js'라고 명명한 이 기술은 Spectre와 Meltdown 취약점이 발견된 이후로 구글이 설치한 장벽을 우회하기 위해 특별히 고안된 JavaScript 기반 ..

국내외 보안동향 2021. 9. 14. 09:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 수신된 이메일에서 바이러스 활동이 감시되어 이메일 검사를 진행하라는 내용의 피싱 공격이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 "계정 보안 [이메일주소]” 라는 제목이 사용되었으며, 사용 중인 이메일 계정에서 바이러스 활동이 감지되어 계정 안전을 위해 본문에 표기된 링크를 클릭하여 이메일 검사를 유도하고 있습니다. 특히 발신자 주소가 한국 사이버결제사에서 보낸 것처럼 위장하여 사용자의 의심을 피하려 했습니다. 사용자가 이메일 바이러스 검사를 위해 본문에 기재 된 스캐닝 주소를 클릭하면 로그인 계정과 패스워드를 탈취하는 피싱 사이트로 이동하게 됩니다. 피싱사이트에 접속되면 사용자의 이메일이 감염되었다는 문구가 표시되며, 정상적인 바이러스..

악성코드 분석 리포트 2021. 9. 13. 15:34

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 피싱 메일을 통해 꾸준히 유포되고 있는 Lokibot이 피싱 메일의 형태를 변경하여 유포중에 있습니다. 이번에 발견된 피싱 메일은 물품공급계약서를 위장하고 있으며 2개 파일이 첨부되어 있습니다. 이메일 내용은 거래를 위하여 물품공급계약서를 받고 있다며, 첨부되어있는 '물품공급계약서' 파일명의 한글 파일을 실행하도록 유도합니다. 또한 직인 찍는 메뉴얼이라면서 '계약서 직인 찍는 위치.7z' 압축파일을 실행하도록 유도합니다. 한글 파일은 정상 파일로, 내부에는 일반적인 계약서 내용이 작성되어 있습니다. 압축파일 내에는 정상파일을 위장한 .exe 파일이 포함되어 있으며, 만약 사용자가 해당 파일의 압축을 해제한 후 클릭하면 Lokibot 악성코..

악성코드 분석 리포트 2021. 9. 13. 15:05