Experts developed a free decryptor for the Lorenz ransomware Lorenz 랜섬웨어 그룹은 지난 4월부터 활동해 왔으며, 전 세계 여러 조직을 공격해 피해자에게 수십만 달러의 랜섬머니를 요구했습니다. 다른 랜섬웨어 그룹과 마찬가지로, Lorenz 운영자 또한 데이터를 암호화하기 전 이를 훔치고 피해자가 랜섬머니를 지불하지 않을 경우 이를 이용하여 협박하는 이중 갈취 전략을 사용합니다. 랜섬머니는 50만~70만 달러 사이로 꽤 높은 편입니다. Tesorion의 연구원들은 랜섬웨어를 분석 후 일부의 경우 피해자가 파일을 무료로 복호화할 수 있는 복호화 툴을 개발했습니다. 해당 보안 회사는 NoMoreRansom 이니셔티브를 통해 곧 이 복호화 툴을 공개할 예정입..

국내외 보안동향 2021. 6. 30. 14:00

Windows Print Spooler란 윈도우의 프린터 작업을 관리하는 프로세스로, 여러 프로그램에서 사용이 됩니다. 공격자는 해당 취약점을 이용하여 PfcAddPrinterDriver 보안인증을 우회, 프린터 서버에 악성 드라이버를 설치할 수 있습니다. 만약 공격자의 피해를 받은 사용자가 내부망에 있다면, 공격자는 프린터 DC중의 Spooler 서비스에 접근할 수 있으며, 해당 취약점을 이용하여 악성 드라이버를 설치하여 내부망을 장악할 수 있습니다. ▶ 영향받는 버전 Windows Server 2019 (Server Core installation) Windows Server 2019 Windows Server 2016 (Server Core installation) Windows Server 201..

국내외 보안동향 2021. 6. 30. 11:00

Sodinokibi ransomware's new Linux encryptor targets ESXi virtual machines Sodinokibi 랜섬웨어가 리눅스용 암호화 툴을 통해 VMware ESXi 가상 머신을 노리고 있는 것으로 나타났습니다. 많은 기업에서 더욱 쉬운 백업, 기기 관리, 효율적인 리소스 사용을 위해 가상 머신을 사용하기 시작함에 따라 랜섬웨어 공격자들이 VM에서 사용하는 스토리지를 대량으로 암호화하기 위한 툴을 만들어내고 있습니다. 지난 5월, Advanced Intel의 Yelisey Boguslavskiy는 NAS 기기에서도 동작하는 암호화 툴의 리눅스 버전을 공개했음을 확인하는 Sodinokibi의 포럼 게시물을 공유했습니다. 또한 보안 연구원인 MalwareHunte..

국내외 보안동향 2021. 6. 30. 09:00

腾讯安全报告：紫狐病毒恶意攻击SQL服务器，并呈蠕虫式扩散 Tencent의 보안 연구원들이 Purple Fox 악성코드의 최신 변종이 취약한 비밀번호를 탈취하여 기업의 SQL 서버의 포트 1433을 공격하고 있다고 밝혔습니다. MSSQL에서 사용하는 1433번 포트는 마이크로소프트(MS)에서 제공하는 데이터베이스 하부 언어(SQL)를 사용하기 위한 포트를 의미합니다. 이번 Purple Fox 악성코드 변종의 감염 규모는 5월 중순 이후 급격히 증가하고 있는 것으로 나타났습니다. 중국 내 피해자 서버는 주로 베이징, 장쑤성, 저장성, 광동성 등에 분산되어 있었습니다. Tencent는 Purple Fox 악성코드가 1433번 포트에서 웜과 같이 대규모로 확산되고 있다는 사실을 발견했습니다. Purple Fox 악..

국내외 보안동향 2021. 6. 29. 15:00

Hackers Trick Microsoft Into Signing Netfilter Driver Loaded With Rootkit Malware 지난 금요일, 마이크로소프트가 자사에서 서명한 드라이버가 악성 윈도우 루트킷으로 확인 된 사고를 조사 중이라 밝혔습니다. 해당 루트킷은 중국에 위치한 C2 서버와 통신 중이었습니다. “Netfilter”라 명명된 해당 드라이버는 동아시아 국가의 게임 환경을 주로 노리는 것으로 알려져 있습니다. 마이크로소프트는 “공격자의 목표는 드라이버를 통해 그들의 지리적 위치에 스푸핑해 시스템을 속여 어느 위치에서든 플레이하는 것”이라 밝혔습니다. 마이크로소프트의 보안 대응 센터(MSRC)는 이에 대해 아래와 같이 밝혔습니다. “공격자는 이 악성코드를 통해 게임 내에서 이득..

국내외 보안동향 2021. 6. 29. 14:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 06월 20일~06월 26일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 122건이고 그중 악성은 73건으로 59.84%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 61건 대비 73건으로 12건이 증가했습니다. 일일 유입량은 하루 최저 2건(악성 1건)에서 최대 46건(악성 29건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 73건 중 Attach-Malware형이 39.7%로 가장 많았고 뒤이어 Attach-Phishin..

악성코드 분석 리포트 2021. 6. 29. 10:00

The builder for Babuk Locker ransomware was leaked online Babuk Locker 랜섬웨어의 빌더가 온라인에 유출되었으며, 공격자들이 이를 통해 자체 랜섬웨어 버전을 만들고 있다고 The Record에서 보도했습니다. Babuk Locker 운영자는 지난 4월 워싱턴 DC 경찰서에 대한 공격 이후 운영을 중단했습니다. 전문가들은 미 경찰서를 공격 및 협박한 이 그룹의 작전이 잘못된 것이었다고 밝혔습니다. 해당 랜섬웨어 그룹은 워싱턴 DC, 메트로폴리탄 경찰서에 침입해 파일을 암호화하고 랜섬머니로 4백만 달러를 요구했습니다. 당시 Babuk 랜섬웨어는 경찰 및 정보원의 개인 데이터를 포함한 파일 250GB 상당을 훔쳤다고 밝혔습니다. 5월 말, Babuk 랜섬웨..

국내외 보안동향 2021. 6. 29. 09:00

Hackers target Cisco ASA devices after a PoC exploit code was published online Positive Technologies의 연구원들이 CVE-2020-3580 XSS 취약점에 대한 PoC 코드를 트위터에 공개한 이후, 연구원들은 Cisco ASA 기기를 노리는 공격이 지속적으로 발생하고 있다고 경고했습니다. Tenable 전문가는 Positive Technologies에서 게시한 XSS 취약점에 대한 PoC 익스플로잇을 누군가 악용할 가능성이 있다고 경고했으며, 다른 연구원들은 이 이슈에 대한 버그 바운티를 노리고 있다고 밝혔습니다. Tenable 또한 CVE-2020-3580 취약점이 실제 공격에 악용되고 있다고 경고했습니다. 또한 위의 이유로..

국내외 보안동향 2021. 6. 28. 14:00