안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 북한의 사이버 공격이 지속적으로 이어지고 있습니다. PC 환경은 물론 모바일 기기를 향한 공격 빈도도 증가하고 있습니다. 김수키(Kimsuky)로도 알려진 탈륨(Thallium) 그룹이 유포한 “Trojan.Android.AgentNK”는 피해자의 개인 정보 탈취를 목적으로 하고 있습니다. 개인의 일상과 밀접하게 연결된 모바일 기기의 특성상 개인 정보가 많을 수밖에 없으며 공격자들은 이점을 노리고 모바일 기기 대상의 악성 앱을 유포하는 것입니다. 분석 내용을 살펴보면 Trojan.Android.AgentNK는 피해자의 개인 정보 탈취를 주요 목적으로 하고 있음을 알 수 있습니다. 그리고 탈취한 개인 정보들을 바탕으로 추가 공격을 감행할 것..

악성코드 분석 리포트 2021. 1. 21. 09:00

Hacker posts 1.9 million Pixlr user records for free on forum 한 해커가 피싱 및 크리덴셜 스터핑 공격에 악용될 수 있는 190만 Pixlr 사용자 기록을 유출시켰습니다. Pixlr는 포토샵과 같은 전문 데스크톱 사진 편집 프로그램에서 사용할 수 있는 많은 기능을 포함한 인기 있는 무료 온라인 사진 편집 애플리케이션입니다. Pixlr는 기본 편집 도구를 무료로 제공하지만, 이 사이트는 고급 툴, 스톡 사진, 기타 기능을 제공하는 유료 멤버십 또한 제공합니다. ShinyHunters로 알려진 공격자는 지난 주말 해커 포럼에 한 데이터베이스를 무료 공개하며, 이를 123rf 스톡 사진 사이트를 해킹하여 훔친 Pixlr의 데이터베이스라고 주장했습니다. Pixlr..

국내외 보안동향 2021. 1. 21. 09:00

DNSpooq bugs let attackers hijack DNS on millions of devices 이스라엘의 보안 컨설팅 회사인 JSOF가 DNSmasq 취약점 7개를 공개했습니다. 합쳐서 ‘DNSpooq’로 명명된 이 취약점은 취약한 기기 수백만 대를 타깃으로 DNS 캐시 포이즈닝, 원격 코드 실행, 서비스 거부(DoS)공격 등을 실행하는데 악용될 수 있습니다. DNSmasq는 인기있는 오픈소스 DNS 포워딩 소프트웨어로 보통 IoT를 포함한 다양한 임베디드 장치에 DNS 캐싱 및 DHCP(Dynamic Host Configuration Protocol) 서버 기능을 추가하는데 사용됩니다. DNSpooq 공격에 취약한 DNSmasq 버전을 사용하는 회사의 전체 수 또는 이름은 아직까지 알려지..

국내외 보안동향 2021. 1. 20. 14:03

안녕하세요. ESRC(시큐리티 대응센터)입니다. 해외에 서버를 둔 불법 성매매 소개 사이트에서 채팅 서비스를 위장한 악성 앱이 유포되고 있어, 사용자의 각별한 주의가 필요합니다. 이 불법 성매매 소개 사이트에서 안드로이드(AOS)용 악성 앱 뿐만 아니라, 아이폰(iOS)용 악성 앱도 설치를 유도하고 있어, 상대적으로 악성 앱 보안 위협에서 안전하다고 알려진 아이폰 사용자들도 유의할 필요가 있습니다. 이들 악성 앱은 주로 불법 성인사이트를 통해 은밀하게 유포되고 있는 것으로 확인되었으며, 운영 중인 웹사이트가 차단되면 계속해 새로운 주소를 적극 개설 중인 것으로 나타났습니다. PC에서 불법 사이트에 접속하면 악성 채팅 앱 다운로드를 유도하는 안내 화면을 보여주고, 스마트폰으로 접근을 유도합니다. 실제로 스..

악성코드 분석 리포트 2021. 1. 20. 11:00

Raindrop, a fourth malware employed in SolarWinds attacks 시만텍(Symantec)의 보안 전문가들이 SolarWinds 공급망 공격의 배후에 있는 공격자들이 측면 이동 및 추가 페이로드 배포를 위해 Raindrop이라는 악성코드를 사용한다는 사실을 발견했습니다. Raindrop은 SUNSPOT 백도어, Sunburst/Solarigate 백도어, Teardrop 툴 다음으로 SolarWinds 공격을 조사하던 중 발견된 4번째 악성코드입니다. Raindrop은 Cobalt Strike 페이로드를 전달하는데 사용하는 로더입니다. Raindrop은 Teardrop 툴과 유사하지만, Teardrop 툴은 Sunburst 백도어를 통해 배포된 반면 Raindrop은..

국내외 보안동향 2021. 1. 20. 09:07

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 ‘Spyware.AgentTesla’(이하 ‘AgentTesla’) 악성코드가 국내 기업을 대상으로 무역 관련 내용의 악성 메일로 유포되고 있습니다. 메일 첨부 파일에 있는 ‘New Inquiry #20004546.gz’ 내 ‘New Inquiry #20004546.exe’에서 실행이 이루어집니다. 실행되는 ‘AgentTesla’는 SMTP를 통해 C&C로 감염 PC의 정보를 전송하는 악성코드입니다. 따라서 감염될 경우 사용자들이 사용하는 크리덴셜 정보들이 공격자에게 노출될 수 있어 주의가 필요합니다. 또한 기업 혹은 최근 재택근무 환경에서 감염이 되는 경우, 크리덴셜 정보의 유출에 따른 피해가 발생할 수 있어 주의가 필요합니다. 현..

악성코드 분석 리포트 2021. 1. 20. 09:00

IObit forums hacked in widespread DeroHE ransomware attack 지난 주말 윈도우 유틸리티 개발 업체인 IObit가 해킹당해 포럼 회원들에게 DeroHE 랜섬웨어를 배포하는 사고가 발생했습니다. IObit는 윈도우 시스템 최적화, Advanced SystemCare와 같은 프로그램으로 알려진 소프트웨어 개발 업체입니다. 지난 주말, IObit 포럼 회원들은 IObit에서 발송한 것으로 위장한 이메일을 받기 시작했습니다. 1년 무료 라이선스를 지급한다는 내용이었습니다. 이메일에는 ‘GET IT NOW’ 링크가 포함되어 있었으며, 해당 링크는 hxxps://forums.iobit.com/promo.html로 이어졌습니다. 이 페이지는 지금은 존재하지 않지만, 공격이 ..

국내외 보안동향 2021. 1. 19. 14:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 01월 10일~01월 16일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 170건이고 그중 악성은 56건으로 32.94%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 55건 대비 56건으로 1건이 증가했습니다. 일일 유입량은 하루 최저 5건(악성 2건)에서 최대 55건(악성 18건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 56건 중 Attach-Malware형이 91.1%로 가장 많았고 뒤이어 Link-Malware형이 ..

악성코드 분석 리포트 2021. 1. 19. 09:30