Ransomware masquerades as mobile version of Cyberpunk 2077 공격자가 CoderWare라는 랜섬웨어를 설치하는 가짜 윈도우 및 안드로이드 Cyberpunk 2077 게임 인스톨러를 배포하고 있는 것으로 드러났습니다. 사용자가 악성코드를 설치하도록 속이기 위해, 공격자들은 게이머 인스톨러, 치트, 저작권이 있는 소프트웨어의 크랙의 형태로 배포합니다. 카스퍼스키의 악성코드 분석가인 Tatyana Shishkova가 Cyberpunk 2077 게임의 모바일 버전으로 위장한 안드로이드 랜섬웨어를 발견했습니다. 이 게임은 정식 구글 플레이 스토어로 위장한 가짜 웹사이트를 통해 배포되고 있었습니다. Shishkova는 하드코딩된 키를 활용하는 CoderWare 랜섬웨어에..

국내외 보안동향 2020. 12. 18. 09:40

안녕하세요? 이스트시큐리티입니다. 오늘은 이스트시큐리티가 한국데이터진흥원에서 제공하는 '2020년 하반기 A.I. 데이터 가공 바우처 사업'에 공급기업으로 참여하였다는 소식 전해드립니다. 이스트시큐리티는 지난 9월, 수요기업 엘에스웨어(주)와 컨소시엄을 구성하여, 랜섬웨어 관련 A.I. 가공 정보를 수요기업에게 제공하는 'A.I. 데이터 가공 사업'을 수주하였는데요. 엘에스웨어(주)는 이스트시큐리티로부터 제공받은 랜섬웨어 A.I. 가공 데이터를 활용하여 A.I. 모델을 개발하고, 이를 통합모듈식 서버보안 솔루션인 뉴 옴니가드에 탑재하여 출시를 앞두고 있습니다. 엘에스웨어(주)는 제품 출시에 앞서, 랜섬웨어를 탐지하는 A.I. 모델 개발에 난항을 겪고 있었고, 때마침 한국데이터진흥원에서 진행하는 A.I. ..

이스트시큐리티 소식 2020. 12. 18. 09:07

[12월 세 번째 주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No. 문자 내용 1 배송 업체가 배송을 준비했으며 오늘 15:00에 배송 될 예정입니다 자세히보.기 hhxxps://han[.]gl/xxxxx 2 상인이 배송했고 15:00에 배송 될 예정입니다 hxxps://tinyurl[.]com/xxxxxx 3 당점에서 주문하신 상품이 배송되었는지 확인 해주세.요 hxxp://asq[.]kr/xxxxxxxxx 4 구매 한 선물이 배송되었습니다. 자세한 내용을 보려면 URL을 클릭하십시.오 hxxp://asq[.]kr/xxxxxxxxx 5 [Web..

안전한 PC&모바일 세상/스미싱 알림 2020. 12. 17. 15:28

Ransomware Attackers Using SystemBC Malware With RAT and Tor Proxy 새로운 연구에 따르면, 점점 더 많은 사이버 범죄자들이 악성코드 및 공격 툴을 통한 랜섬웨어 배포 작업을 아웃소싱하고 있는 것으로 나타났습니다. Sophos에서 발표한 새로운 분석에 따르면, Ryuk과 Egregor 랜섬웨어가 최근 배포 시 추가 페이로드를 로드하기 위한 네트워크 측면 이동을 위해 SystemBC 백도어를 사용한 것으로 나타났습니다. 파트너는 보통 타깃 네트워크에 침투할 초기 발판을 얻는 것을 도와줍니다. Sophos의 Sean Gallagher는 아래와 같이 밝혔습니다. “최근 랜섬웨어 공격자들이 SystemBC를 흔히 사용하고 있는 것으로 나타났습니다.” “이 백도어..

국내외 보안동향 2020. 12. 17. 14:02

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 최근 국내 블록체인 기업의 체불확인원 개인문서로 위장한 악성 DOC 파일이 발견됐습니다. 이 악성파일은 기존 탈륨(Thallium) 조직의 전략전술 기법과 프로세스가 일치하며, '스모크 스크린(Smoke Screen)' APT 캠페인의 일환으로 분석됐습니다. 먼저 문서는 다음과 같은 형태를 가지고 있는데, 파일명에 특정인 이름이 포함돼 있습니다. 파일명 작성자 마지막 수정명 마지막 수정 시간 체불확인원-ㅇㅇㅇ.doc User Devil 2020-12-14 14:06:00 (UTC) 문서가 실행되면 다음과 같이 매크로 실행을 유도하기 위해 조작한 문서보안 메시지를 보여줍니다. 보안경고 창에 있는 [콘텐츠 사용] 버튼 클릭을 유도..

악성코드 분석 리포트 2020. 12. 17. 11:14

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2020년 12월 16일 특정 보험사를 사칭한 ‘[00손해보험] 자동차보험 증권입니다.’라는 제목으로 스팸 메일을 통해 원격 제어 악성코드인 ‘NanoCore’가 유포되고 있습니다. 첨부 파일을 확인해 보면 윈도우에서 소프트웨어 설치에 사용되는 Windows 캐비닛('.cab') 파일이 존재하며, 이 파일은 실행파일인 exe 파일을 포함합니다. 이 악성코드는 파일을 실행하면 리소스 영역(RCData WIOSOSOSOW)의 난독화된 쉘코드(Shellcode)를 실행합니다. 리소스 영역(RCData WIOSOSOSOW) 난독화 된 쉘코드를 복호화하는 코드입니다. 이 쉘코드는 exe 파일 내 숨겨진 난독화 된 데이터를 메모리 상에서 복호화합니다..

악성코드 분석 리포트 2020. 12. 17. 10:04

New Goontact spyware discovered targeting Android and iOS users 보안 연구원들이 스파잉, 감시 기능을 포함한 새로운 악성코드 변종을 발견했습니다. 이 악성코드는 안드로이드와 iOS 버전에서 모두 작동합니다. Goontact라 명명된 이 악성코드는 감염된 피해자의 휴대전화 기기 식별자, 연락처, SMS 메시지, 사진, 위치 정보와 같은 데이터를 수집하는 기능을 포함하고 있습니다. 모바일 보안 회사인 Lookout이 발견한 Goontact 악성코드는 현재 에스코트 서비스(escort service)를 제공하는 무료 인스턴트 메시징 앱을 홍보하는 타사 사이트를 통해 배포되고 있습니다. Lookout은 보고서를 통해 이 사이트의 타깃은 현재 중화권 국가, 한국,..

국내외 보안동향 2020. 12. 17. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 11월에 발견된 ‘Trojan.Android.AgentNK’는 코니(Konni) APT 조직이 유포한 공격 앱으로 암호화폐 관련 앱으로 위장하여 유포되었습니다. 악성 앱의 주요 목표는 피해자의 개인 정보 탈취에 있습니다. [그림] 악성 앱 설치 화면 이런 공격은 부지불식간에 당하기 마련이기에 사용자의 예방 노력이 무엇보다 중요합니다. 앱 설치 시 본인의 스마트폰이 위협에 노출될 수 있음을 인지하고 주의를 기울여야 하며 알약M과 같은 신뢰할 수 있는 백신을 사용해야 합니다. 현재 알약M에서는 해당 앱을 ‘Trojan.Android.AgentNK’ 탐지 명으로 진단하고 있으며, 관련 상세 분석보고서는 Threat Inside 웹서비스 구독을 ..

악성코드 분석 리포트 2020. 12. 17. 09:00