2021년 3월 마이크로소프트에서 패치된 Internet Explorer 메모리 손상 취약점이 VBA 기반 RAT 악성코드를 설치하기 위한 공격 캠페인에 악용되고 있는 것으로 나타났습니다. 해커들은 Internet Explorer 익스플로잇을 통해 대상 PC에 VBA 악성코드를 배포할 수 있으며, 감염된 윈도우 시스템에 저장된 파일에 액세스하고 악성 페이로드를 다운로드 및 실행할 수 있습니다. CVE-2021-26411로 등록된 해당 취약점을 악용할 경우, 공격자는 특수하게 조작된 웹사이트를 호스팅하고 사용자가 이를 보도록 유도할 수 있습니다. 또한 감염된 웹사이트를 악용하여 특수하게 조작된 콘텐츠를 추가할 수도 있습니다. 해당 취약점을 악용한 공격으로 인한 피해를 예방하기 위해 Internet Expl..

국내외 보안동향 2021. 7. 30. 11:51

New Ransomware Gangs — Haron and BlackMatter — Emerge on Cybercrime Forums 이번 달, 새로운 서비스형 랜섬웨어(RaaS) 프로그램 2개가 발견되었습니다. 이 중 한 그룹은 지난 몇 달 동안 Colonial Pipeline과 Kaseya에 실행된 주요 공격 이후 활동을 중단한 DarkSide과 Sodinokibi의 후임이라 공언했습니다. 새로운 BlackMatter 그룹의 운영자는 다크넷의 공개 블로그에서 “이 프로젝트는 DarkSide, Sodinokibi, LockBit의 최고의 기능만을 모았다"고 홍보하며 의료 시설 및 석유/가스, 방위, 비영리, 정부 부문과 같은 중요 인프라는 공격하지 않겠다고 약속했습니다. Flashpoint에 따르면, ..

국내외 보안동향 2021. 7. 30. 09:00

Critical flaw in Microsoft Hyper-V could allow RCE and DoS SafeBreach의 연구원인 Peleg Hadar와 Guardicore의 Ophir Harpaz가 마이크로소프트 Hyper-V의 치명적인 취약점에 대한 자세한 정보를 공개했습니다. 이 취약점은 CVE-2021-28476으로 등록되었으며 임의 코드를 실행할 때 DoS 조건을 유발할 수 있습니다. 이 취약점은 마이크로소프트 Hyper-V의 네트워크 스위치 드라이버 (vmswitch.sys)에 존재하며, Windows 10 및 Windows Server 2012~2019에 영향을 미칩니다. CVE-2021-28476 취약점의 심각도는 10점 만점에 9.9점이며, 지난 5월 마이크로소프트에서 수정했습니다...

국내외 보안동향 2021. 7. 30. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 금일 국립공원공단 직원들을 타겟으로 피싱 메일이 유포되고 있는 정확이 포착되었습니다. 이번 피싱메일은 @knps.or.kr 이메일 주소를 사용하는 국립공원공단 직원들을 대상으로 유포되었습니다. 이메일은 '메일 일시 정지 경고', '비밀번호 만료 알림'이라는 제목으로 유포되고 있으며, 해당 피싱메일의 목적은 계정정보 탈취입니다. 해당 메일들은 모두 @knps.or.kr 이메일을 사용하는 사람들에게 발송되었으며, 형태는 다르지만 모두 이메일 비밀번호를 입력하라고 유도합니다. 만약 이메일 수신자가 피싱페이지로 인지하지 못하고 계정정보를 입력하면, 입력한 계정정보는 공격자의 서버로 전송되며 실제 국립공원공단 홈페이지로 리디렉션 됩니다. 그렇기 때..

악성코드 분석 리포트 2021. 7. 29. 16:50

Chinese cyberspies used a new PlugX variant, dubbed THOR, in attacks against MS Exchange Servers 동남아시아를 노리는 것으로 알려진 중국 연계 해커 그룹 TA416(Mustang Panda, HoneyMyte, PKPLUG)이 이전에 문서화되지 않은 PlugX의 변종을 배포하기 위해 마이크로소프트 익스체인지 서버의 취약점을 악용한 것으로 나타났습니다. Palo Alto Networks Unit 42 팀의 연구원들은 이 새로운 PlugX 악성코드를 Thor라 명명했습니다. 또한 이 RAT이 해킹된 서버 중 한 곳에서 악용 후 툴(Post Exploitation Tool)로써 사용되었다고도 덧붙였습니다. 새롭게 발견된 변종은 핵심 코..

국내외 보안동향 2021. 7. 29. 14:00

CVE-2021-28476로 등록된 Microsoft의 Hyper-V 원격 코드 실행 취약점이 수정되었지만 많은 조직들이 여전히 패치를 진행하지 않은 것으로 나타났습니다. 해당 취약점은 게스트 VM이 임의의 잠재적으로 유효하지 않은 주소에서 Hyper-V 호스트의 커널을 강제로 읽도록 허용합니다. 주소의 내용은 게스트 VM으로 반환되지 않으며, 매핑되지 않은 주소 읽기로 인해 Hyper-V 호스트의 서비스 거부가 발생할 수 있습니다. 이로 인해 하드웨어 장치의 특정 부작용이 발생할 수 있으며 호스트에서 임의 코드를 실행할 수 있으므로 치명적인 영향을 미칠 수 있습니다. Azure 서비스는 이 문제로부터 안전하지만 일부 로컬 Hyper-V는 패치가 배포될 때 모든 관리자가 Windows 컴퓨터를 업데이트하..

국내외 보안동향 2021. 7. 29. 12:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. Kotra가 주최하는 신규 기업 소개를 위장한 피싱 메일이 유포되고 있어 기업 사용자들의 주의가 필요합니다. 이번에 유포되고 있는 악성 메일은 '[buyKOREA] 검토 진행 의뢰' 라는 메일 제목과 함께 국내 기업을 해외에 소개한다는 내용이 포함되어 있습니다. 실제로 Kotra에서 보낸 이메일처럼 위장하고 있지만, 발신자 주소가 admin@windowmaintenance.co.uk로 공식 계정이 아닌것을 알 수 있습니다. Kotra의 공식 계정은 *****.kotra.or.kr 계정입니다. buyKOREA는 KOTRA(코트라)에서 주관하는 BTB 사이트로 많은 기업들이 아이템 발굴 및 바이어 발굴, 홍보 및 마케팅 등에 이용하고 있습니다..

악성코드 분석 리포트 2021. 7. 29. 10:56

UBEL is the New Oscorp — Android Credential Stealing Malware Active in the Wild 안드로이드의 접근성 서비스를 악용하여 유럽의 뱅킹 애플리케이션에서 사용자의 자격 증명을 훔치는 것으로 알려진 한 안드로이드 악성코드가 2021년 5월 시작된 새로운 캠페인에서 완전히 새로운 봇넷으로 탈바꿈한 것으로 나타났습니다. 지난 1월 말, 이탈리아의 CERT-AGID는 무고한 피해자의 자금을 훔칠 목적으로 여러 금융 기관 타깃을 공격하기 위해 개발된 모바일 악성코드인 Oscorp에 대한 자세한 정보를 공개했습니다. 해당 악성코드는 SMS 메시지를 가로채고, 전화를 걸고, 중요 데이터를 훔치기 위해 유사한 로그인 화면을 제작해 모바일 애플리케이션 150개 이상..

국내외 보안동향 2021. 7. 29. 09:00