SolarWinds hackers remained hidden in Denmark’s central bank for months 러시아와 연계된 해커 그룹이 덴마크 중앙 은행의 시스템을 감염시키고, 네트워크에 대한 접근 권한을 6개월 이상 동안 유지했던 것으로 나타났습니다. 이 보안 침해 사고는 Nobelium, Cozy Bear, The Dukes로도 알려진 APT29 그룹에서 실행한 SolarWinds 공급망 공격의 결과입니다. 이 침입 사고는 기술 매체인 Version2에서 덴마크 중앙 은행에 요청해 공식 문서를 받아 공개되었습니다. Version2에서는 이에 대해 아래와 같이 보도했습니다. “세계에서 가장 정교한 해커 중 일부가 7개월 동안 덴마크 중앙 은행에서 백도어를 이용했습니다. 덴마크 중앙..

국내외 보안동향 2021. 7. 1. 14:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 한국 공공기관을 노린 북한 연계 해킹그룹의 공격이 계속 발견되고 있는 가운데, 이번에는 김수키의 구글 블로그를 활용한 해킹 시도가 급증하고 있어 각별한 주의가 필요합니다. 지난 28일 수행된 이번 공격은 학술대회 참가 양식처럼 위장된 MS Word 문서 파일로 마치 보안 문서처럼 암호가 설정되어 있지만, 이는 보안 프로그램의 탐지를 회피하기 위한 목적으로 사용됩니다. 해당 문서는 전형적인 악성 매크로 기법이 적용돼 있고, ‘콘텐츠 사용’ 버튼을 허용할 경우 악성코드가 실행됩니다. 분석에 의하면, 악성코드가 작동하면 국내 중소기업의 홈페이지(daewon3765.○○○[.]com)와 1차 통신을 시도하고, 그다음 공격자들이 구축한 특정 ..

악성코드 분석 리포트 2021. 7. 1. 13:00

Researchers Leak PoC Exploit for a Critical Windows RCE Vulnerability 이달 초 마이크로소프트에서 패치한 윈도우 인쇄 스풀러(Windows Print Spooler)에 존재하는 원격 코드 실행 취약점과 관련된 PoC 익스플로잇이 온라인에 잠시 동안 게시된 것으로 나타났습니다. CVE-2021-1675로 등록된 이 보안 취약점은 원격 공격자가 취약한 시스템을 제어할 수 있는 전체 권한을 얻는데 악용될 수 있습니다. 인쇄 스풀러는 적절한 프린터 드라이브를 로드하고, 인쇄 작업을 예약하는 등 윈도우 내 인쇄 프로세스를 관리합니다. 인쇄 스풀러의 취약점은 공격 범위가 넓을 뿐만 아니라 타사 바이너리를 가장 높은 권한 수준으로 동적 로드할 수 있기 때문에 문제..

국내외 보안동향 2021. 7. 1. 09:00

Experts developed a free decryptor for the Lorenz ransomware Lorenz 랜섬웨어 그룹은 지난 4월부터 활동해 왔으며, 전 세계 여러 조직을 공격해 피해자에게 수십만 달러의 랜섬머니를 요구했습니다. 다른 랜섬웨어 그룹과 마찬가지로, Lorenz 운영자 또한 데이터를 암호화하기 전 이를 훔치고 피해자가 랜섬머니를 지불하지 않을 경우 이를 이용하여 협박하는 이중 갈취 전략을 사용합니다. 랜섬머니는 50만~70만 달러 사이로 꽤 높은 편입니다. Tesorion의 연구원들은 랜섬웨어를 분석 후 일부의 경우 피해자가 파일을 무료로 복호화할 수 있는 복호화 툴을 개발했습니다. 해당 보안 회사는 NoMoreRansom 이니셔티브를 통해 곧 이 복호화 툴을 공개할 예정입..

국내외 보안동향 2021. 6. 30. 14:00

Windows Print Spooler란 윈도우의 프린터 작업을 관리하는 프로세스로, 여러 프로그램에서 사용이 됩니다. 공격자는 해당 취약점을 이용하여 PfcAddPrinterDriver 보안인증을 우회, 프린터 서버에 악성 드라이버를 설치할 수 있습니다. 만약 공격자의 피해를 받은 사용자가 내부망에 있다면, 공격자는 프린터 DC중의 Spooler 서비스에 접근할 수 있으며, 해당 취약점을 이용하여 악성 드라이버를 설치하여 내부망을 장악할 수 있습니다. ▶ 영향받는 버전 Windows Server 2019 (Server Core installation) Windows Server 2019 Windows Server 2016 (Server Core installation) Windows Server 201..

국내외 보안동향 2021. 6. 30. 11:00

Sodinokibi ransomware's new Linux encryptor targets ESXi virtual machines Sodinokibi 랜섬웨어가 리눅스용 암호화 툴을 통해 VMware ESXi 가상 머신을 노리고 있는 것으로 나타났습니다. 많은 기업에서 더욱 쉬운 백업, 기기 관리, 효율적인 리소스 사용을 위해 가상 머신을 사용하기 시작함에 따라 랜섬웨어 공격자들이 VM에서 사용하는 스토리지를 대량으로 암호화하기 위한 툴을 만들어내고 있습니다. 지난 5월, Advanced Intel의 Yelisey Boguslavskiy는 NAS 기기에서도 동작하는 암호화 툴의 리눅스 버전을 공개했음을 확인하는 Sodinokibi의 포럼 게시물을 공유했습니다. 또한 보안 연구원인 MalwareHunte..

국내외 보안동향 2021. 6. 30. 09:00

腾讯安全报告：紫狐病毒恶意攻击SQL服务器，并呈蠕虫式扩散 Tencent의 보안 연구원들이 Purple Fox 악성코드의 최신 변종이 취약한 비밀번호를 탈취하여 기업의 SQL 서버의 포트 1433을 공격하고 있다고 밝혔습니다. MSSQL에서 사용하는 1433번 포트는 마이크로소프트(MS)에서 제공하는 데이터베이스 하부 언어(SQL)를 사용하기 위한 포트를 의미합니다. 이번 Purple Fox 악성코드 변종의 감염 규모는 5월 중순 이후 급격히 증가하고 있는 것으로 나타났습니다. 중국 내 피해자 서버는 주로 베이징, 장쑤성, 저장성, 광동성 등에 분산되어 있었습니다. Tencent는 Purple Fox 악성코드가 1433번 포트에서 웜과 같이 대규모로 확산되고 있다는 사실을 발견했습니다. Purple Fox 악..

국내외 보안동향 2021. 6. 29. 15:00

Hackers Trick Microsoft Into Signing Netfilter Driver Loaded With Rootkit Malware 지난 금요일, 마이크로소프트가 자사에서 서명한 드라이버가 악성 윈도우 루트킷으로 확인 된 사고를 조사 중이라 밝혔습니다. 해당 루트킷은 중국에 위치한 C2 서버와 통신 중이었습니다. “Netfilter”라 명명된 해당 드라이버는 동아시아 국가의 게임 환경을 주로 노리는 것으로 알려져 있습니다. 마이크로소프트는 “공격자의 목표는 드라이버를 통해 그들의 지리적 위치에 스푸핑해 시스템을 속여 어느 위치에서든 플레이하는 것”이라 밝혔습니다. 마이크로소프트의 보안 대응 센터(MSRC)는 이에 대해 아래와 같이 밝혔습니다. “공격자는 이 악성코드를 통해 게임 내에서 이득..

국내외 보안동향 2021. 6. 29. 14:00