[7월 첫 번째 주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No. 문자내용 1 상품이 손상되어. 재배송되었습니다 hxxp://tinyurl[.]com/xxxxxxxx 2 한의사랑 소포배송 했습니다. hxxp://tinyurl[.]com/xxxxxxxx 3 농협소포. 배송 했습니다 hxxp://tinyurl[.]com/xxxxxxxx 4 [Web발신][한국의료재단 IFC종합검진센터]진단서 내용확인:xxxx.xxxx[.]show 5 [Web발신](광고) OO은행ㆍOO은행에서 28일부터 시행되는 "정부"의 7월 특약상품 안내입니다.ㆍ가장저렴한 이율의 ..

안전한 PC&모바일 세상/스미싱 알림 2021. 7. 2. 16:11

Russian-based DoubleVPN seized by law enforcement 법 집행기관이 러시아 기반 VPN 서비스인 DoubleVPN(doublevpn[.]com)의 서버를 압수한 것으로 나타났습니다. 이는 공격자가 악성 공격을 실행할 때 그들의 작전을 익명화하기 위해 널리 사용하는 이중 암호화 VPN 서비스입니다. 해당 VPN 서비스의 가격은 22 유로(25 달러)부터 입니다. 유로폴은 보도자료를 발행해 아래와 같이 밝혔습니다. “DoubleVPN이 콘텐츠를 호스팅한 전 세계의 서버가 모두 압수되었으며, 웹 도메인은 법 집행부의 스플래시 페이지로 변경되었습니다. DoubleVPN은 랜섬웨어 운영자와 피싱 공격자의 위치와 신원을 은폐하기 위한 수단으로, 러시아어와 영어를 사용하는 언더그라..

국내외 보안동향 2021. 7. 2. 14:00

Freshly scraped LinkedIn data of 88,000 US business owners shared online 유명 해커 포럼에서 최근 수집된 미국 사업주 88,000명의 LinkedIn 데이터가 포함된 68MB 용량의 JSON 데이터베이스가 공개되었습니다. 게시자에 따르면, “지난 90일 동안 직위를 변경한” 미국 기업주의 데이터를 모은 것으로 나타났습니다. 해당 데이터베이스는 성명, 이메일 주소, 직장 정보, 사용자가 LinkedIn 프로필에 공개한 기타 데이터를 포함하고 있었습니다. 이 정보를 담은 아카이브 파일은 해커 포럼에 게시되어 누구나 열람할 수 있었습니다. 하지만 LinkedIn은 이와 같은 데이터 스크래핑을 플랫폼 사용자를 위험에 빠트릴 수 있는 데이터 침해로 간주하지..

국내외 보안동향 2021. 7. 2. 09:00

SolarWinds hackers remained hidden in Denmark’s central bank for months 러시아와 연계된 해커 그룹이 덴마크 중앙 은행의 시스템을 감염시키고, 네트워크에 대한 접근 권한을 6개월 이상 동안 유지했던 것으로 나타났습니다. 이 보안 침해 사고는 Nobelium, Cozy Bear, The Dukes로도 알려진 APT29 그룹에서 실행한 SolarWinds 공급망 공격의 결과입니다. 이 침입 사고는 기술 매체인 Version2에서 덴마크 중앙 은행에 요청해 공식 문서를 받아 공개되었습니다. Version2에서는 이에 대해 아래와 같이 보도했습니다. “세계에서 가장 정교한 해커 중 일부가 7개월 동안 덴마크 중앙 은행에서 백도어를 이용했습니다. 덴마크 중앙..

국내외 보안동향 2021. 7. 1. 14:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 한국 공공기관을 노린 북한 연계 해킹그룹의 공격이 계속 발견되고 있는 가운데, 이번에는 김수키의 구글 블로그를 활용한 해킹 시도가 급증하고 있어 각별한 주의가 필요합니다. 지난 28일 수행된 이번 공격은 학술대회 참가 양식처럼 위장된 MS Word 문서 파일로 마치 보안 문서처럼 암호가 설정되어 있지만, 이는 보안 프로그램의 탐지를 회피하기 위한 목적으로 사용됩니다. 해당 문서는 전형적인 악성 매크로 기법이 적용돼 있고, ‘콘텐츠 사용’ 버튼을 허용할 경우 악성코드가 실행됩니다. 분석에 의하면, 악성코드가 작동하면 국내 중소기업의 홈페이지(daewon3765.○○○[.]com)와 1차 통신을 시도하고, 그다음 공격자들이 구축한 특정 ..

악성코드 분석 리포트 2021. 7. 1. 13:00

Researchers Leak PoC Exploit for a Critical Windows RCE Vulnerability 이달 초 마이크로소프트에서 패치한 윈도우 인쇄 스풀러(Windows Print Spooler)에 존재하는 원격 코드 실행 취약점과 관련된 PoC 익스플로잇이 온라인에 잠시 동안 게시된 것으로 나타났습니다. CVE-2021-1675로 등록된 이 보안 취약점은 원격 공격자가 취약한 시스템을 제어할 수 있는 전체 권한을 얻는데 악용될 수 있습니다. 인쇄 스풀러는 적절한 프린터 드라이브를 로드하고, 인쇄 작업을 예약하는 등 윈도우 내 인쇄 프로세스를 관리합니다. 인쇄 스풀러의 취약점은 공격 범위가 넓을 뿐만 아니라 타사 바이너리를 가장 높은 권한 수준으로 동적 로드할 수 있기 때문에 문제..

국내외 보안동향 2021. 7. 1. 09:00

Experts developed a free decryptor for the Lorenz ransomware Lorenz 랜섬웨어 그룹은 지난 4월부터 활동해 왔으며, 전 세계 여러 조직을 공격해 피해자에게 수십만 달러의 랜섬머니를 요구했습니다. 다른 랜섬웨어 그룹과 마찬가지로, Lorenz 운영자 또한 데이터를 암호화하기 전 이를 훔치고 피해자가 랜섬머니를 지불하지 않을 경우 이를 이용하여 협박하는 이중 갈취 전략을 사용합니다. 랜섬머니는 50만~70만 달러 사이로 꽤 높은 편입니다. Tesorion의 연구원들은 랜섬웨어를 분석 후 일부의 경우 피해자가 파일을 무료로 복호화할 수 있는 복호화 툴을 개발했습니다. 해당 보안 회사는 NoMoreRansom 이니셔티브를 통해 곧 이 복호화 툴을 공개할 예정입..

국내외 보안동향 2021. 6. 30. 14:00

Windows Print Spooler란 윈도우의 프린터 작업을 관리하는 프로세스로, 여러 프로그램에서 사용이 됩니다. 공격자는 해당 취약점을 이용하여 PfcAddPrinterDriver 보안인증을 우회, 프린터 서버에 악성 드라이버를 설치할 수 있습니다. 만약 공격자의 피해를 받은 사용자가 내부망에 있다면, 공격자는 프린터 DC중의 Spooler 서비스에 접근할 수 있으며, 해당 취약점을 이용하여 악성 드라이버를 설치하여 내부망을 장악할 수 있습니다. ▶ 영향받는 버전 Windows Server 2019 (Server Core installation) Windows Server 2019 Windows Server 2016 (Server Core installation) Windows Server 201..

국내외 보안동향 2021. 6. 30. 11:00