안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. Lokibot은 인포스틸러 악성코드로서 웹 브라우저, 메일 클라이언트, FTP 클라이언트 등 감염 PC에 설치된 다양한 프로그램들에서 크리덴셜 정보를 탈취하는 기능을 가지고 있습니다. 수 년 전부터 꾸준히 유포되고 있는 악성코드이지만 현재까지도 꾸준히 배포되고 있습니다. Lokibot은 대부분 피싱메일을 통해 유포되고 있으며, 진단을 우회하기 위해 요즘은 주로 닷넷(.NET) 프로그램의 형태로 유포되고 있습니다. Lokibot 악성코드는 주로 견적 요청과 같은 피싱메일로 유포되며, 닷넷(.NET) 패커로 제작되어 있으며, Lokibot 페이로드를 자식프로세스에 인젝션하여 동작하며, 여러 종류의 수집 대상 프로그램에서 저장하고 있는 크리덴셜..

악성코드 분석 리포트 2021. 4. 19. 09:00

6 out of 11 EU agencies running Solarwinds Orion software were hacked 유럽의 예산 행정 위원인 Johannes Hahn이 SolarWinds의 공급망 공격이 유럽 연합 기관 6곳에 영향을 미쳤다고 밝혔습니다. 유럽 연합의 이러한 공식 대응은 CERT-EU에서 실시한 조사 결과를 기반으로 합니다. CERT-EU는 유럽 연합 기관 14곳이 SolarWinds Orion 모니터링 소프트웨어를 사용하고 있었으며, 이 중 6곳이 해킹을 당했다고 밝혔습니다. CERT-EU는 변조된 Orion 업데이트를 설치한 EU 기관의 이름을 밝히지는 않았습니다. 2020년 12월, SolarWinds는 고객 18,000명이 공급망 공격에 영향을 받았을 가능성이 있다고 밝혔..

국내외 보안동향 2021. 4. 19. 09:00

[4월 두 번째 주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No. 문자내용 1 CJ택배 배송했습니다 빠른시간에 확인부탁합니다. hxxp://tinyurl[.]com/xxxxxx 2 택배 배송했습니다 합동택배조회 asq[.]kr/xxxxxxxxx 3 우체국택배 확인부탁합니`다 shorturl[.]at/xxxxxx 4 [Web발신]한국의료재단 IFC종합검진센터 통지내용보기:xx.xxxx[.]vip 5 [Web발신]통지서 내용을 확인하세요:xx.xxxxx[.]pro 출처 : 알약M 기간 : 2021년 4월 10일 ~ 2021년 4월 16일

안전한 PC&모바일 세상/스미싱 알림 2021. 4. 16. 14:09

1-Click Hack Found in Popular Desktop Apps — Check If You're Using Them 다양한 인기 소프트웨어에서 원클릭 취약점 다수가 발견되었습니다. 공격자가 이 취약점을 악용할 경우 잠재적으로 타깃 시스템에서 임의 코드를 실행할 수 있습니다. Positive Security의 보안 연구원인 Fabian Bräunlein, Lukas Euler가 발견한 이 문제는 Telegram, Nextcloud, VLC, LibreOffice, OpenOffice, Bitcoin/Dogecoin Wallets, Wireshark, Mumble과 같은 프로그램에 영향을 미칩니다. 연구원들은 아래와 같이 설명했습니다. “운영 체제에서 오픈할 사용자 제공 URL을 전달하는 데스크..

국내외 보안동향 2021. 4. 16. 14:00

YIKES! Hackers flood the web with 100,000 pages offering malicious PDFs 사이버 범죄자들이 정식 구글 사이트로 보이지만 다양한 공격을 수행하는 원격 액세스 트로이목마(RAT)를 설치하는 페이지로 비즈니스 전문가를 유인하기 위해 검색 엔진을 오염시키고 있는 것으로 나타났습니다. 이 공격은 인보이스, 템플릿, 설문지, 영수증 등 기업용 문서 양식에 대한 검색 결과를 악용합니다. 악성 문서 템플릿을 다운로드하는 사용자는 자신도 모르는 사이 악성코드를 호스팅하는 악성 웹사이트로 이동됩니다. 지난 화요일 eSentire의 연구원들은 이에 대해 아래와 같이 언급했습니다. “RAT이 피해자의 컴퓨터에 설치되고 활성화되면, 공격자들은 감염된 시스템으로 명령을 전송..

국내외 보안동향 2021. 4. 16. 09:00

New WhatsApp Bugs Could've Let Attackers Hack Your Phone Remotely 왓츠앱이 안드로이드용 메시징 앱에서 공격자가 원격으로 기기에서 악성코드를 실행하도록 허용하고 심지어 암호화된 통신을 해킹할 수 있었던 보안 취약점 2개를 수정했습니다. 이 취약점은 안드로이드 버전 9 및 이하 버전을 실행하는 기기를 노리며, “Man-in-the-Disk”로 알려진 공격을 통해 앱과 외부 저장소 사이에서 교환되는 특정 데이터를 조작하여 앱을 해킹할 수 있습니다. Census Labs의 연구원들은 아래와 같이 밝혔습니다. “공격자는 앞서 언급한 왓츠앱 취약점 2개를 통해 원격으로 TLS 1.3 및 TLS 1.2 세션용 TLS 암호화 관련 자료를 수집할 수 있었을 것입니다.”..

국내외 보안동향 2021. 4. 15. 14:00

Update Your Chrome Browser to Patch 2 New In-the-Wild 0-Day Exploits 지난 화요일 구글이 새로운 윈도우, 맥, 리눅스용 크롬 웹브라우저 버전을 공개했습니다. 해당 버전에서는 실제 공격에서 악용이 가능한 취약점 2개를 패치했습니다. 두 가지 취약점 중 하나는 지난주 이루어진 해킹 콘테스트인 Pwn2Own 2021에서 Dataflow의 Bruno Keith와 Niklas Baumstark가 시연한 V8 JavaScript 렌더링 엔진 내 신뢰할 수 없는 입력에 대한 검증 불충분 취약점 (CVE-2021-21220)입니다. 구글은 이 두 취약점을 신속하게 패치했으며, 보안 연구원인 Rajvardhan Agarwal는 지난 주말 크로미움 팀이 오픈소스 컴포넌..

국내외 보안동향 2021. 4. 15. 09:00

Hackers Using Website's Contact Forms to Deliver IcedID Malware 마이크로소프트가 조직 내에 이메일을 통해 가짜 법적 협박이 포함된 악성 링크를 전달하기 위해 웹사이트 내 문의 기능을 악용하는 독특한 공격 캠페인에 대해 경고했습니다. 이는 합법적인 인프라를 악용하여 보안 보호를 우회하는 공격적인 캠페인의 또 다른 사례입니다. 마이크로소프트의 위협 인텔리전스 팀은 지난 금요일 블로그를 통해 아래와 같이 밝혔습니다. “이메일은 수신자에게 링크를 클릭해 그들의 혐의를 입증하는 증거를 확인하라고 속입니다. 하지만 링크를 클릭할 경우 정보 탈취 악성코드인 IcedID 다운로드로 이어집니다.” IcedID는 윈도우 기반 뱅킹 트로이목마로 정찰 및 은행 자격 증명 유출..

국내외 보안동향 2021. 4. 14. 14:00