HelloKitty ransomware now targets VMware ESXi servers HelloKitty 랜섬웨어의 리눅스 변종이 VMware ESXi 시스템을 노린 공격에 사용된 것으로 나타났습니다. 이 랜섬웨어 그룹은 가상화 플랫폼을 주로 사용하는 기업을 타깃으로 운영을 확대하는 것을 목표로 합니다. VMware ESXi 시스템을 노리는 공격자는 피해자에게 상당한 영향을 미치며, 가능한 많은 가상 머신을 암호화하는 것이 가능합니다. MalwareHunterTeam의 연구원들은 VMware ESXi 서버를 공격하고, 해당 위치에 호스팅되는 가상 머신을 암호화하도록 설계된 HelloKitty 랜섬웨어의 ELF64 버전 다수를 발견했습니다. 이 소식을 전한 Bleeping Computer는 새로..

국내외 보안동향 2021. 7. 16. 14:00

Ransomware Attacks Targeting Unpatched EOL SonicWall SMA 100 VPN Appliances SonicWall이 고객에게 랜섬웨어 캠페인이 패치되지 않은 8.x 펌웨어를 실행하는 SMA(Secure Mobile Access) 100 시리즈와 SRA(Secure Remote Access) 제품을 노릴 것이라 경고했습니다. 이는 SonicWall SRA 4600 VPN 어플라이언스 내 원격 액세스 취약점인 CVE-2019-7481이 전 세계의 기업 네트워크를 해킹하기 위한 초기 벡터로써 악용되고 있다고 보고된 지 약 한 달 만입니다. “SonicWall은 훔친 자격 증명을 사용하는 한 랜섬웨어 캠페인에서 패치되지 않은 단종된 8.x 펌웨어를 실행하는 SMA(Secu..

국내외 보안동향 2021. 7. 16. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 6월 25일, 차세대 운영체제 '윈도우 11(Windows 11)'이 공개되었습니다. 해당 운영체제는 올해 안에 신규 생산되는 PC에 기본 탑재될 예정이며, 윈도우 10 사용자가 만약 현재 사용중인 PC의 하드웨어 사양 등의 조건이 충족할 경우 무료 업그레이드를 지원합니다. 이러한 와중에 윈도우 11 셋업파일을 위장한 랜섬웨어가 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 랜섬웨어는 'Windows11正式版(Windows정식버전)'을 위장하고 있으며, 중국어로 제작된 것으로 보아 중국에서 유포중인 것으로 추정됩니다. 만약 사용자가 파일을 실행하면, 먼저 Windows 시점 복원을 방지하기 위해 'cmd.exe'를 이용하여 볼륨 섀..

악성코드 분석 리포트 2021. 7. 15. 15:09

The infrastructure and websites used by REvil ransomware gang are not reachable 7월 14일 오후 3시경 이후로 Sodinokibi 랜섬웨어 그룹이 사용하는 인프라와 웹사이트가 접속이 불가능한 상태가 되었습니다. 이를 보도한 Bleeping Computer는 아래와 같이 밝혔습니다. “Sodinokibi(REvil) 랜섬웨어는 랜섬머니 협상 사이트, 랜섬웨어 데이터 유출 사이트, 백엔드 인프라로 사용되는 수 많은 클리어 웹 및 다크웹 사이트를 통해 운영됩니다. 14일 오후 3시경 이후, Sodinokibi 랜섬웨어 작전에 사용된 웹사이트 및 인프라가 이유를 밝히지 않은 채 운영이 중단되었습니다.” Tor 유출 사이트 및 지불 웹사이트인 “de..

국내외 보안동향 2021. 7. 15. 14:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 몸캠 피싱은 여러 가지 방법으로 피해자에게 연락하여 화상 채팅을 유도하고 피해자의 모습을 촬영한 후 주변 지인들에게 유포를 빌미로 협박하는 수법입니다. 공격자의 목적은 오로지 돈이며 요구하는 가격 또한 피해자마다 천차만별입니다. 현재까지도 꾸준하게 발생하는데 특정 공격자들이 매일 1~2개씩 지속해서 악성 앱을 만들어 내고 있으며 좀 더 조직화하여 활동하는 것으로 보입니다. 유포되고 있는 악성 앱 목록을 살펴보면 [그림 1]과 같이 다양하게 위장하고 있는 것을 확인할 수 있습니다. 이러한 앱을 설치하게 되는 몸캠 피싱의 몇 가지 유형에 대해 알아보도록 하겠습니다. 유형 소개 랜덤 채팅 피해자에게 연락하기 위해 여러 가지 매체를 활용하는 데 ..

악성코드 분석 리포트 2021. 7. 15. 09:38

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 네이버 전자세금계산서를 위장한 악성메일이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 악성 메일은 네이버에서 발급한 전자 세금 계산서를 위장하고 있습니다. 공격자는 발신자 이메일 주소 도메인을 navercorp.com으로 만들어 수신자로 하여금 진짜 naver로 온걸로 착각하도록 유도합니다. 또한 보안메일을 첨부파일 형식으로 발송한다는 내용으로 사용자들의 첨부파일 실행을 유도합니다. 압축파일 내에는 pdf 파일을 위장한 실행파일(.exe) 파일이 포함되어 있습니다. 만약, 사용자가 해당 파일을 pdf 파일로 착각하여 실행한다면 악성코드가 실행됩니다. 악성코드가 실행되면 사용자 PC 정보와 함께 웹 브라우저, 메일 클라이언트, FT..

악성코드 분석 리포트 2021. 7. 15. 09:35

BazarBackdoor sneaks in through nested RAR and ZIP archives 보안 연구원들이 다중 압축 기술을 사용하고 이미지 파일로 위장하여 BazarLoader(BazarBackdoor) 악성코드를 확산시키는 새로운 피싱 캠페인을 발견했습니다. 다중 압축 기술은 새롭게 발견된 것은 아니지만, 이메일 보안 게이트웨이를 속여 악성 첨부파일을 정상 파일로 잘못 분류하도록 할 수 있기 때문에 최근 인기를 끌었습니다. 이는 압축파일 내에 다른 압축파일을 포함시키는 작업이 포함됩니다. Cofense의 연구원들은 해당 방법이 압축 파일을 검사하는 깊이에 제한을 둔 일부 보안 이메일 게이트웨이(SEG)를 우회할 수 있다고 밝혔습니다. 이달 초 시작된 새로운 BazarLoader 캠페인..

국내외 보안동향 2021. 7. 15. 09:00

《网络产品安全漏洞管理规定》将于9日1日起施行 공업정보화부, 국가인터넷정보실, 공안부 3부서가 공동으로 을 발표했습니다. 이 규정은 중국의 네트워크보안, 인터넷 제품 및 중요 네트워크 시스템의 보안과 안정적인 운영을 목적으로 하고 있습니다. 또한 취약점의 발견, 보고, 패치 및 공개 등의 행위에 대해 네트워크 제품의 제공자, 네트워크 운영자 및 취약점 발견,수집,공개 등의 활동을 하는 조직 혹은 개인 등의 책임과 의무에 대해 명시하고 있습니다. 해당 규정은 2021일 9월 1일부터 시행됩니다. 다음은 의 전문입니다. 제1조 네트워크 제품 보안 취약점의 발견, 보고, 패치 및 공개 등의 행위에 대한 규범을 정하고, 인터넷 보안 위험을 방지하기 위해 이 규정은 "중화인민공화국 사이버 보안법"에 따라 제정된다. ..

국내외 보안동향 2021. 7. 14. 14:19