Credential stuffing attack hit RIPE NCC: Members have to enable 2FA RIPE NCC가 크리덴셜 스터핑 공격을 받았다고 발표했습니다. 공격의 목적은 SSO(Single Sign-ON) 계정에 접근하기 위한 것이었습니다. RIPE NCC는 비영리 회원 협회, 지역 인터넷 레지스트리 및 기술 협력을 통해 인터넷을 지원하는 RIPE 커뮤니티 사무국입니다. 이는 전 세계 75개국의 회원 약 2만명을 보유하고 있습니다. 회원들은 주로 지역 인터넷 레지스트리 및 자국의 다른 조직의 IP 주소 블록을 할당하는 역할을 수행합니다. 해당 조직은 공격을 완화했으며, 조사 결과 SSO 계정은 해킹되지 않은 것으로 나타났다고 밝혔습니다. “지난 주말, 자사의 싱글 사인 온(..

국내외 보안동향 2021. 2. 19. 09:05

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 보이스 피싱 공격은 모바일 환경 초창기부터 지금까지 꾸준하게 이어져 오고 있습니다. 초기와 달라진 점이 있다면 보이스 피싱 공격이 초기와 달리 정교하게 진화했다는 점이다. 이런 보이스 피싱 공격의 최종 목표는 피해자의 금전 탈취입니다. 공격 흐름은 악성 앱 유포로 시작됩니다. 악성 앱은 피해자의 개인 정보를 탈취하고 스마트폰의 통화 기능을 장악합니다. 이어 피해자에게 통화를 유도하여 종국에는 금전 갈취라는 목표를 달성하게 됩니다. ‘Trojan.Android.FakeApp’은 피해자의 금전 갈취를 주요 목적으로 하고 있습니다. 탈취한 개인 정보들을 활용하여 다양한 방법으로 금전 갈취를 수행할 것입니다. 이런 공격은 사용자의 예방 노력이 무..

악성코드 분석 리포트 2021. 2. 19. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2018년 5월 해외에서 활동하는 뱅킹/인포스틸러 악성코드로 Danabot이 처음 등장했습니다. 이 악성코드는 매년 코드를 업그레이드하며 버전 3까지 출현한 것으로 알려졌습니다. 그 뒤로 자취를 감춘 Danabot은 최근 다시 활동하기 시작했습니다. 해당 악성코드는 감염된 PC를 통해 사용자 개인 정보를 공격자 서버 C&C로 전송합니다. 따라서 과거부터 진행되어 왔던 공격이니 만큼 사용자들이 사용하는 크리덴셜 정보(로그인 정보, 개인 신상 정보 등)들이 공격자에게 노출될 수 있어 주의가 필요합니다. ‘Trojan.Agent.Danabot’은 C&C에 사용자 PC 정보, 브라우저 사용자 정보, 히스토리 정보, FTP, Mail, 메신저 정보..

악성코드 분석 리포트 2021. 2. 18. 16:42

Agora SDK Bug Left Several Video Calling Apps Vulnerable to Snooping 인기있는 영상 통화 소프트웨어 개발 키트(SDK)의 심각한 보안 취약점으로 인해 공격자가 개인 영상 및 음성 통화를 스파잉할 수 있었던 것으로 나타났습니다. McAfee ATR(Advanced Threat Research) 팀이 금일 발표한 새로운 연구결과에 따르면, 해당 취약점은 Agora.io의 SDK에서 발견되었습니다. 해당 SDK는 eHarmony, Plenty of Fish, MeetMe, Skout 등 소셜 앱, Talkspace, Practo, Dr. First's Backline 등 의료 앱, 개인 로봇인 ‘테미(Temi)’와 연동되는 안드로이드 앱 등에 사용됩니다. ..

국내외 보안동향 2021. 2. 18. 14:00

Unpatched SHAREit Android App Flaw Could Let Hackers Inject Malware 10억 회 이상 다운로드를 기록한 인기있는 앱인 SHAREit에서 패치되지 않은 취약점 다수가 발견되었습니다. 해당 취약점을 악용할 경우 사용자의 민감 데이터를 유출하고, 임의 코드를 실행하고, 원격 코드 실행으로 이어질 수 있습니다. 이 취약점은 사이버 보안 회사인 Trend Micro에서 사용자가 기기간에 파일을 공유하거나 전송하는데 사용할 수 있는 안드로이드 버전 앱을 분석한 끝에 발견되었습니다. 하지만 이 취약점이 3개월 전 제보되었음에도 해당 앱의 개발자인 Smart Media4U Technology Pte. Ltd.는 아직까지 이 취약점을 패치하지 않았습니다. 트렌드마이크로..

국내외 보안동향 2021. 2. 17. 14:00

Malvertisers exploited browser zero-day to redirect users to scams ScamClub 멀버타이징 그룹이 기프트카드 사기와 연결되는 페이로드를 배포하기 위해 WebKit 웹 브라우저 엔진 내 제로데이 취약점을 악용한 것으로 나타났습니다. 지난 3개월 동안 진행 된 캠페인 동안, 하루에 제공된 악성 광고 노출 수는 약 1,600만 건에 달했습니다. ScamClub 그룹은 악성 광고 폭격을 가하는 전술을 사용하기로 악명이 높습니다. 광고 대부분이 차단되더라도, 노출시키는 광고 양이 너무 많아 탐지되지 않은 광고의 양 또한 어마어마한 것으로 나타났습니다. 광고 보안 및 품질 관리 회사인 Confiant는 ScamClub의 “폭격 전략”에 대해 설명하며 리디렉션 ..

국내외 보안동향 2021. 2. 17. 09:49

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 이번 글에서는 최근 발견된 탈륨 조직 배후의 악성 HWP 문서파일 분석 내용을 기술하고, 어떤 위협사례와 유사한지 소개해 보고자 합니다. 해당 악성 문서는 다음과 같은 정보을 가지고 있으며, 마지막 수정날짜 기준으로 보면 2020년 11월 경 제작됐습니다. · 파일 이름 : 신종_코로나바이러스_관련_소상공인_지원_종합안내.hwp · 크기 : 91,648 바이트 · 작성자 : MSS · 마지막 수정자 : DefaultAccounts · 마지막 수정날짜 : 2020-11-25 02:20:12 (UTC) 먼저 HWP 내부 구조를 살펴보면, BinData 위치에 3개의 OLE 오브젝트가 포함된 것을 확인할 수 있고, 2개의 png 이미지 파일이 존재..

악성코드 분석 리포트 2021. 2. 17. 00:40

VMware fixes command injection issue in vSphere Replication VMware가 최근 vSphere Replication 제품에 영향을 미치는 심각한 명령 인젝션 취약점인 CVE-2021-21976을 수정하기 위한 보안 패치를 출시했습니다. VMware vSphere Replication은 파이퍼바이저 기반 가상 머신 복제 및 복구를 제공하는 VMware vCenter Server의 확장 프로그램입니다. vSphere Replication은 스토리지 기반 복제의 대안으로 사용됩니다. 관리자 권한을 가진 공격자가 이 취약점을 악용할 경우 기본 시스템에서 셸 명령을 실행할 수 있게 됩니다. VMware는 보안 권고를 발행해 아래와 같이 밝혔습니다. “vSphere R..

국내외 보안동향 2021. 2. 16. 14:04