Jenkins project's Confluence server hacked to mine Monero 해커가 최근 공개된 Atlassian Confluence의 원격 코드 실행 취약점을 악용하여 Jenkins 프로젝트의 내부 서버에 침입한 것으로 나타났습니다. Jenkins는 소프트웨어 개발 과정 중 일부를 자동화하는 인기 오픈소스 서버이기 때문에 해당 공격이 발생한 점은 걱정스러운 일입니다. 하지만 프로젝트 릴리즈, 플러그인, 코드는 이에 영향을 받지 않습니다. 주의를 기울이고 있는 관리자들 지난주 CVE-2021-26084에 대한 PoC 코드가 공개된 후, 공격자는 크립토마이너를 설치하기 위해 취약한 Atlassian Confluence 인스턴스를 검색하기 시작했습니다. 많은 공격자가 이 익스플로잇..

국내외 보안동향 2021. 9. 8. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 6일, 이력서를 위장한 피싱 메일을 통해 Makop랜섬웨어가 대량으로 유포되어 사용자들의 주의를 당부드립니다. 해당 공격은 지난해부터 저작권, 입사지원서 등의 키워드로 랜섬웨어를 포함한 피싱 메일을 유포중인 비너스락커(VenusLocker) 그룹의 소행으로 추정되며, ESRC에서는 지속적으로 해당 그룹이 유포하는 피싱 메일에 대해 포스팅 해 왔습니다. ▶ 비너스락커 그룹, 저작권 침해안내로 위장한 피싱 공격 수행중 (21년 5월 12일) ▶ 비너스락커 조직, Makop 랜섬웨어 유포 중! (20년 10월 5일) 피싱 메일에는 "이력서_210905(경력사항도 같이 기재하였습니다 같이 확인부탁드립니다)"라는 파일명을 가진 exe 파일이 포함되..

악성코드 분석 리포트 2021. 9. 7. 16:43

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 대표적인 北 연계 해킹 그룹으로 알려진 ‘금성121’의 새로운 APT공격이 발견되었습니다. 이번 공격은 이메일에 악성 파일을 첨부해 보내는 전형적인 스피어 피싱(Spear Phishing) 공격 기법이 사용됐고, 마치 최근 북한의 정세와 안보관련 주제의 문서처럼 가장해 북한 인권단체의 대표를 공격 표적으로 삼았습니다. 먼저 공격자는 특정 인물의 SNS 계정을 해킹한 후 친구 관계로 연결된 또 다른 사람을 물색합니다. 친구 리스트에서 추가 공격대상 인물을 선정하고 SNS 메신저로 가벼운 안부 인사와 함께 평소 비슷한 관심사나 가십거리로 경계심을 낮춥니다. 그런 다음 자신이 작성한 최근 북한 정세와 관련된 칼럼에 대해 조언을 구하는 식으로, ..

악성코드 분석 리포트 2021. 9. 7. 15:15

Critical Auth Bypass Bug Affect NETGEAR Smart Switches — Patch and PoC Released 네트워킹, 스토리지, 보안 솔루션 제공업체인 Netgear가 지난 금요일 공격자가 악용할 경우 취약한 장치를 완전히 제어할 수 있는 스마트 스위치의 보안 취약점 3개를 수정하는 패치를 발표했습니다. 이 취약점은 구글의 보안 엔지니어인 Gynvael Coldwind가 발견해 보고했습니다. 해당 취약점은 아래 모델에 영향을 미칩니다. GC108P(펌웨어 버전 1.0.8.2에서 수정됨) GC108PP(펌웨어 버전 1.0.8.2에서 수정됨) GS108Tv3(펌웨어 버전 7.0.7.2에서 수정됨) GS110TPP(펌웨어 버전 7.0.7.2에서 수정됨) GS110TPv3(펌..

국내외 보안동향 2021. 9. 7. 14:00

Microsoft Says Chinese Hackers Were Behind SolarWinds Serv-U SSH 0-Day Attack 마이크로소프트가 SolarWinds Serv-U 관리 파일 전송 서비스에 영향을 미치며 현재는 수정된 적극적으로 악용되는 심각한 보안 취약점에 대한 기술 세부 정보를 공유했습니다. 2021년 7월에 공개된 CVE-2021-35211은 Serv-U Managed File Transfer 및 Serv-U Secure FTP에 영향을 미치는 제로데이 취약점으로 원격 공격자가 취약점 악용에 성공할 경우 권한을 갖게 되어 임의 코드를 실행할 수 있습니다. SolarWinds에 따르면, SSH가 활성화되지 않은 환경일 경우에는 취약점이 활성화되지 않습니다. 공격자는 열린 SSH..

국내외 보안동향 2021. 9. 7. 11:41

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 08월 29일~09월 04일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 153건이고 그중 악성은 69건으로 45.1%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 65건 대비 69건으로 4건이 증가했습니다. 일일 유입량은 하루 최저 4건(악성 1건)에서 최대 49건(악성 26건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 69건 중 Attach-Phishing형이 49.3%로 가장 많았고 뒤이어 Attach-Malware형..

악성코드 분석 리포트 2021. 9. 7. 09:31

TrickBot gang developer arrested when trying to leave Korea TrickBot 악성코드 그룹의 러시아 개발자가 한국에서 출국을 시도하다 체포된 것으로 나타났습니다. TrickBot 사이버 범죄 그룹은 윈도우 및 리눅스 장치를 노리는 다양한 정교한 악성코드를 사용하며, 피해자의 네트워크에 접근해 데이터를 훔치고 랜섬웨어와 같은 기타 악성코드를 배포합니다. KBS는 러시아 남성이 코로나19 제한 조치로 한국에 발이 묶여 있었으며 여권이 만료된 상태였다고 처음으로 보도했습니다. 그는 여권이 갱신되기까지 1년 여 기간을 기다린 뒤 다시 한국을 떠나려 했으나 미국의 범죄인 인도 요청으로 공항에서 검거된 것으로 나타났습니다. 해당 남성은 2016년 러시아에 거주하면서 T..

국내외 보안동향 2021. 9. 7. 09:00

Source code for the Babuk is available on a hacking forum 한 공격자가 러시아어를 사용하는 해킹 포럼에서 Babuk 랜섬웨어의 소스코드를 공개했습니다. Babuk Locker의 운영자는 워싱턴 DC 경찰서에 대한 공격 이후 4월 말에 운영을 중단했습니다. 전문가들은 이 그룹의 결정이 작전 오류로 인한 것으로 추측했습니다. 이들은 워싱턴 D.C. 경찰청에 침투해 파일을 암호화하고 랜섬머니로 400만 달러를 요구했습니다. 5월 말, Babuk 랜섬웨어 운영자는 랜섬웨어 유출 사이트를 Payload.bin으로 리브랜딩하고 다른 조직이 이 사이트를 통해 피해자에게서 훔친 데이터를 공개할 수 있는 기회를 제공하기 시작했습니다. 이 그룹의 일부 멤버는 새로운 서비스형 랜..

국내외 보안동향 2021. 9. 6. 14:00