안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 몸캠 피싱은 여러 가지 방법으로 피해자에게 연락하여 화상 채팅을 유도하고 피해자의 모습을 촬영한 후 주변 지인들에게 유포를 빌미로 협박하는 수법입니다. 공격자의 목적은 오로지 돈이며 요구하는 가격 또한 피해자마다 천차만별입니다. 현재까지도 꾸준하게 발생하는데 특정 공격자들이 매일 1~2개씩 지속해서 악성 앱을 만들어 내고 있으며 좀 더 조직화하여 활동하는 것으로 보입니다. 유포되고 있는 악성 앱 목록을 살펴보면 [그림 1]과 같이 다양하게 위장하고 있는 것을 확인할 수 있습니다. 이러한 앱을 설치하게 되는 몸캠 피싱의 몇 가지 유형에 대해 알아보도록 하겠습니다. 유형 소개 랜덤 채팅 피해자에게 연락하기 위해 여러 가지 매체를 활용하는 데 ..

악성코드 분석 리포트 2021. 7. 15. 09:38

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 네이버 전자세금계산서를 위장한 악성메일이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 악성 메일은 네이버에서 발급한 전자 세금 계산서를 위장하고 있습니다. 공격자는 발신자 이메일 주소 도메인을 navercorp.com으로 만들어 수신자로 하여금 진짜 naver로 온걸로 착각하도록 유도합니다. 또한 보안메일을 첨부파일 형식으로 발송한다는 내용으로 사용자들의 첨부파일 실행을 유도합니다. 압축파일 내에는 pdf 파일을 위장한 실행파일(.exe) 파일이 포함되어 있습니다. 만약, 사용자가 해당 파일을 pdf 파일로 착각하여 실행한다면 악성코드가 실행됩니다. 악성코드가 실행되면 사용자 PC 정보와 함께 웹 브라우저, 메일 클라이언트, FT..

악성코드 분석 리포트 2021. 7. 15. 09:35

BazarBackdoor sneaks in through nested RAR and ZIP archives 보안 연구원들이 다중 압축 기술을 사용하고 이미지 파일로 위장하여 BazarLoader(BazarBackdoor) 악성코드를 확산시키는 새로운 피싱 캠페인을 발견했습니다. 다중 압축 기술은 새롭게 발견된 것은 아니지만, 이메일 보안 게이트웨이를 속여 악성 첨부파일을 정상 파일로 잘못 분류하도록 할 수 있기 때문에 최근 인기를 끌었습니다. 이는 압축파일 내에 다른 압축파일을 포함시키는 작업이 포함됩니다. Cofense의 연구원들은 해당 방법이 압축 파일을 검사하는 깊이에 제한을 둔 일부 보안 이메일 게이트웨이(SEG)를 우회할 수 있다고 밝혔습니다. 이달 초 시작된 새로운 BazarLoader 캠페인..

국내외 보안동향 2021. 7. 15. 09:00

《网络产品安全漏洞管理规定》将于9日1日起施行 공업정보화부, 국가인터넷정보실, 공안부 3부서가 공동으로 을 발표했습니다. 이 규정은 중국의 네트워크보안, 인터넷 제품 및 중요 네트워크 시스템의 보안과 안정적인 운영을 목적으로 하고 있습니다. 또한 취약점의 발견, 보고, 패치 및 공개 등의 행위에 대해 네트워크 제품의 제공자, 네트워크 운영자 및 취약점 발견,수집,공개 등의 활동을 하는 조직 혹은 개인 등의 책임과 의무에 대해 명시하고 있습니다. 해당 규정은 2021일 9월 1일부터 시행됩니다. 다음은 의 전문입니다. 제1조 네트워크 제품 보안 취약점의 발견, 보고, 패치 및 공개 등의 행위에 대한 규범을 정하고, 인터넷 보안 위험을 방지하기 위해 이 규정은 "중화인민공화국 사이버 보안법"에 따라 제정된다. ..

국내외 보안동향 2021. 7. 14. 14:19

Microsoft fixes Windows Hello authentication bypass vulnerability 마이크로소프트가 생체 인식 기반 인증 기술인 윈도우의 Hello 내 보안 우회 취약점을 패치했습니다. 이 취약점을 악용할 경우 공격자는 타깃의 ID를 스푸핑하고 얼굴 인식 메커니즘을 속여 시스템에 접근할 수 있었습니다. 마이크로소프트에 따르면, 비밀번호 대신 윈도우 Hello를 사용하여 기기에 로그인하는 윈도우 10 사용자의 수는 지난 2019년 동안 69.4%에서 84.7%로 증가했습니다. 악용에 물리적 접근 필요해 CyberArk Labs의 보안연구원들이 발견한 바와 같이, 공격자는 타깃의 유효한 단일 IR(적외선) 프레임을 사용하여 Hello의 안면 인식 기능을 완전히 우회할 수 있..

국내외 보안동향 2021. 7. 14. 14:00

Trickbot Malware Returns with a new VNC Module to Spy on its Victims 사이버보안 연구원들이 러시아에서 활동하는 다국적 사이버 범죄 그룹이 최근 진행된 법 집행 기관의 체포 작전에 대응해 공격 인프라를 개조하고 있다고 밝혔습니다. Bitdefender는 지난 월요일 발행된 기술 문서에서 아래와 같이 밝혔습니다. “발견된 새로운 기능은 C2 서버와 피해자 간의 송/수신을 숨기기 위해 커스텀 통신 프로토콜을 사용하여 피해자를 모니터링하고 정보를 캐내는 것입니다. 이로써 그들의 행동을 탐지하기 어렵게 합니다. Trickbot은 속도를 늦출 기미를 전혀 보이지 않습니다.” Trickbot을 운영하는 사이버범죄 집단인 Wizard Spider는 감염된 기기를 악..

국내외 보안동향 2021. 7. 14. 09:00

Fashion retailer Guess discloses data breach after ransomware attack 미국의 패션 브랜드 게스(Guess)가 지난 2월 랜섬웨어 공격을 받은 이후 데이터 침해가 발생했다고 알렸습니다. 게스는 영향을 받은 고객에게 발송된 메일을 통해 아래와 같이 밝혔습니다. “포렌식 회사의 도움을 받아 조사를 진행한 결과 2021년 2월 2일부터 23일 사이 게스의 시스템에서 무단 침입이 감지되었습니다. 2021년 5월 26일 진행된 조사 결과에 따르면, 공격자가 특정 개인의 정보를 접근 및 획득할 수 있었음을 확인했습니다.” 게스는 미국, 유럽, 아시아에서 매장 1,041곳을 직접 운영하고 있으며 유통 업체와 파트너는 2021년 5월 기준으로 전 세계의 매장 539곳..

국내외 보안동향 2021. 7. 13. 14:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 금일(13일) 오전 9시 40분경부터 Makop 랜섬웨어가 이력서를 위장한 피싱 메일을 통해 유포 중에 있어 사용자들의 주의가 필요합니다. 해당 랜섬웨어는 이력서를 위장한 악성 파일이 첨부된 피싱 메일을 통해 유포되고 있습니다. 메일에 첨부된 악성 파일 내에는 워드, 혹은 엑셀 파일을 위장한 실행 파일(exe)이 포함되어 있으며, 사용자가 일반 문서 파일로 위장한 악성 파일을 실행할 경우 Makop 랜섬웨어가 실행됩니다. 랜섬웨어가 실행되면 먼저 Windows 시점 복원을 방지하기 위해 'cmd.exe'를 이용하여 볼륨 섀도를 삭제합니다. 이후 현재 사용자가 사용 중인 프로세스와 관련된 파일들을 암호화시키기 위해 실행 중인 프로세스들을 확인하고 종료시킵니다..

악성코드 분석 리포트 2021. 7. 13. 13:46