안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2020년 4월에 처음 등장한 Bazar 악성코드는 미국 및 유럽 전역의 전문 서비스, 의료, 제조, IT, 물류 및 여행 회사를 공격 대상으로 하고 있으며, 주로 피싱 이메일을 통하여 공격이 이루어지고 지속적으로 진화를 거듭해오고 있습니다. Bazar로더는 Trickbot 로더와 마찬가지로 해킹된 유효한 디지털 인증서를 이용하여 탐지를 회피합니다. 그리고 Bazar 로더는 명령 및 제어를 위해 EmerDNS(.bazar) 블록체인 도메인(도메인 차단 방지용)을 사용하여 C2서버와 통신하며, 필요한 API 및 문자열 등이 난독화 되어 있어 자동 및 수동 분석을 방해하고 암호화된 백도어를 메모리에만 로드하여 실행합니다. Bazar 악성코드는..

악성코드 분석 리포트 2021. 8. 19. 09:00

리얼텍(Realtek) 와이파이 모듈SDK에서 4개의 취약점이 발견되었습니다. 리얼텍 와이파이 모듈은 게이트웨이, 트래블 라우터, 와이파이 리피터, IP 카메라 등 다양한 곳에 사용되고 있으며, AIgital, ASUSTek, Beeline, Belkin, Buffalo, D-Link, Edimax, Huawei, LG, Logitec, MT-Link, Netis, Netgear, Occtel, PATECH, TCL, Sitecom, TCL, ZTE, Zyxel 등 많은 제조사에서 취급하고 있습니다. 취약점 내용 CVE-2021-35392 : SSDP NOTIFY 메시지의 안전하지 않은 제작으로 인한 'WiFi Simple Config' 서버의 힙 버퍼 오버플로우 취약점 CVE-2021-35393 : U..

국내외 보안동향 2021. 8. 18. 16:00

Colonial Pipeline discloses data breach after May ransomware attack Colonial Pipeline이 지난 5월 발생한 랜섬웨어 공격 이후 5000명 이상의 사용자에게 개인정보 유출 사실을 공지하기 시작했습니다. Alabama 주 Pelham에 위치한 Colonial Pipeline 시설은 사이버 보안 공격을 받았으며, 이에 운영자는 시스템을 폐쇄해야 했습니다. 이 파이프라인은 매일 정제된 휘발유 및 제트 연료 250만 배럴을 동부 해안을 통해 텍사스에서 뉴욕까지 운반할 수 있으며, 이는 동부 해안 연료 공급의 45%를 차지합니다. 이 공격은 Darkside 랜섬웨어 운영자가 수행했으며, 해당 시설은 도난당한 정보를 복원하기 위해 랜섬머니로 5백만 달..

국내외 보안동향 2021. 8. 18. 14:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 회계명세서, 견적문의 피싱 메일을 통해 Lokibot 악성코드가 유포되고 있어 사용자들의 주의가 필요합니다. * Lokibot Lokibot은 인포스틸러 악성코드로 웹 브라우저, 메일 클라이언트, FTP 클라이언트 등 감염 PC에 설치된 다양한 프로그램들에서 크리덴셜 정보를 탈취하는 기능을 가지고 있다. 수 년 전부터 현재까지 꾸준히 유포되고 있는 악성코드다. Lokibot은 대부분 피싱 메일을 통해 유포되고 있으며, 탐지를 우회하기 위해 요즘은 주로 닷넷(.NET) 프로그램의 형태로 유포되고 있다. Lokibot은 피싱 메일 형태로 국내에서 꾸준히 유포 중이며, 최근에는 네이버 전자세금계산서를 위장하여 유포되기도 했습니다. ▶ 네이버 전자세금계산서를 위장..

악성코드 분석 리포트 2021. 8. 18. 13:51

Fortinet FortiWeb OS Command Injection allows takeover servers remotely 2021년 8월 17일 Fortinet이 FortiWeb WAF 설치를 실행하는 서버를 완전히 제어할 수 있는 명령 주입 취약점을 수정했으며 8월 말에 출시할 계획이라 밝혔습니다. 인증된 공격자는 SAML 서버 구성 페이지를 통해 기본 시스템에서 루트 사용자로 임의의 명령을 실행할 수 있습니다. 전문가들은 이 취약점이 공격자가 허용할 수 있는 인증 우회 취약점(CVE-2020-29015)과 연결될 수 있다고 지적했습니다. 이 취약점은 Fortinet FortiWeb 버전 6.3.11 및 이전 버전에 영향을 미치며 인증된 공격자는 이 취약점을 악용하여 취약한 버전의 FortiWe..

국내외 보안동향 2021. 8. 18. 11:40

Kalay cloud platform flaw exposes millions of IoT devices to hack FireEye Mandiant의 연구원들이 Kalay 클라우드 플랫폼 내 핵심 컴포넌트에서 IoT 기기 수백만 대에 영향을 미치는 치명적인 취약점인 CVE-2021-28372를 발견했습니다. 원격 공격자는 이 취약점을 쉽게 악용해 IoT 기기의 제어권을 탈취할 수 있으며, 공격에 필요한 유일한 정보는 타깃 사용자의 UID입니다. 공격자는 이 UID를 소셜 엔지니어링 기법을 통해 얻어낼 수 있습니다. Mandiant에서는 아래와 같이 설명했습니다. “이 글에 설명된 취약점은 Kalay 플랫폼의 핵심 컴포넌트에 영향을 미칩니다. Mandiant는 영향을 받는 기기 전체 목록을 만들 수는 없었..

국내외 보안동향 2021. 8. 18. 09:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 08월 08일~08월 14일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 92건이고 그중 악성은 44건으로 47.83%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 32건 대비 44건으로 12건이 증가했습니다. 일일 유입량은 하루 최저 2건(악성 1건)에서 최대 28건(악성 16건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 44건 중 Attach-Malware형이 61.4%로 가장 많았고 뒤이어 Attach-Phishing..

악성코드 분석 리포트 2021. 8. 17. 15:31

T-Mobile confirms data breach that exposed customer personal info T-Mobile이 1억 명이 넘는 미국 고객의 개인정보가 노출된 데이터 유출 사고를 확인했습니다. 하루 전, 회사는 한 해커가 고객의 개인 데이터를 판매한다고 주장하는 포럼 게시물을 확인한 후 데이터 유출 가능성에 대한 조사를 시작했다고 발표했습니다. 해당 소식은 Motherboard에서 보도하였으며, 게시물에는 T-Mobile이 언급되어 있지 않았지만 판매자는 1억 명 이상의 T-Mobile 고객의 개인 데이터를 얻었다고 밝혔습니다. 판매자는 Motherboard에 T-Mobile과 관련된 여러 서버를 해킹해 해당 데이터를 얻었다고 밝혔습니다. 판매자는 해당 정보에 SSN, 전화번호, ..

국내외 보안동향 2021. 8. 17. 14:00