Browser Bugs Exploited to Install 2 New Backdoors on Targeted Computers 사이버 보안 연구원들이 새로운 워터링 홀 공격에 대한 자세한 내용을 공개했습니다. 이 공격은 주로 해외에 거주하는 한인들을 노리며 구글 크롬, IE 등 웹 브라우저의 취약점을 악용하여 스파잉 악성코드를 배포합니다. Trend Micro에서 "Operation Earth Kitsune"라 명명한 이 캠페인은 시스템 정보를 추출하고 해킹한 기기의 추가 권한을 얻어내기 위해 SLUB(Slack과 githUB) 악성코드와 새로운 백도어인 dneSpy와 agfSpy를 사용합니다. 연구원들은 공격을 3, 5, 9월에 목격했다고 밝혔습니다. 공격자는 워터링 홀 공격을 통해 선택한 웹사이트에..

국내외 보안동향 2020. 11. 2. 09:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 마치 북한의 최근 내부 소식인 듯 현혹하는 악성 HWP 문서 파일 공격이 발견돼 각별한 주의가 필요합니다. 문서를 실행하면 깨진 글자 들이 보여지며 "호환 문서" 메세지 박스를 출력 합니다. [그림 1] HWP 실행 화면 만약 사용자가 문서를 확인하기 위해 프로그램을 선택하면 [그림 2]와 같은 보안 경고 화면을 출력해 한번 더 사용자의 클릭을 유도합니다. [그림 2] 보안 경고 화면 만약 사용자가 “열기”를 클릭하면 %temp%아래 "호환 문서 프로그램 실행.lnk", "qwer1234.txt" “qwer1234.tmp”파일들이 드롭되고 명령어가 실행됩니다. %comspec% /c cd "%userprofile%\AppData\Local\Te..

악성코드 분석 리포트 2020. 10. 30. 16:25

Critical Oracle WebLogic flaw CVE-2020-14882 actively exploited in the wild 공격자들이 CVE-2020-14882로 등록된 치명적인 취약점을 악용할 목적으로 인터넷에서 취약한 오라클 WebLogic을 사용하는 서버를 탐색하기 시작한 것으로 나타났습니다. 인증되지 않은 공격자가 CVE-2020-14882를 악용할 경우 단순한 HTTP GET 요청을 보내 시스템을 탈취할 수 있습니다. 이 취약점은 심각도 10점 만점에 9.8점을 받았으며, 오라클 이달의 CPU(Critical Patch Update)에서 수정되었습니다. 이 취약점은 오라클 WebLogic 서버 버전 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0,..

국내외 보안동향 2020. 10. 30. 14:00

Hacking group is targeting US hospitals with Ryuk ransomware 미 정부가 한 해킹 그룹이 Ryuk 랜섬웨어를 이용하여 병원 및 의료 제공 업체를 활발히 공격하고 있다고 경고했습니다. 10월 28일 미 CISA와 FBI, HHS는 의료 업계에 ‘증가하고 있는 일촉즉발의 사이버 보안 공격’에 대해 경고했습니다. 미 정부는 Ryuk 랜섬웨어가 의료 업계를 활발히 공격하고 있기 때문에 시스템 보호를 위해 적절한 조치를 취해야 한다고 경고했습니다. 이러한 조치에는 네트워크 잠금 프로토콜 준비, 사고 대응 계획 검토, 윈도우 서버 및 에지 게이트웨이 기기에 패치 설치, 개인 이메일 제한, 공격 발생 시 환자 이송 전략 수립 등이 있습니다. 또한 공격이 발생했을 때 사용..

국내외 보안동향 2020. 10. 30. 09:00

TrickBot Linux Variants Active in the Wild Despite Recent Takedown TrickBot을 무력화하기 위한 노력의 결과로 대부분의 중요 인프라가 중단되었을 수 있지만, TrickBot의 운영자가 가만히 손 놓고 있지만은 않은 것으로 보입니다. 사이버 보안 회사인 Netscout에 따르면 TrickBot 제작자는 타깃의 범위를 넓히기 위해 그들 코드의 일부를 리눅스로 이동시킨 것으로 나타났습니다. 2016년 처음으로 탐지된 금융 트로이목마인 TrickBot은 윈도우 기반 악성코드로 타깃 네트워크에서 자격 증명 탈취, 랜섬웨어 공격 등 광범위한 공격을 실행하기 위해 다양한 모듈을 사용했습니다. 지난 몇 주 동안 미국 사이버 사령부 및 마이크로소프트의 노력으로 T..

국내외 보안동향 2020. 10. 29. 14:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 견적 요청 메일로 위장한 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다 이번에 발견된 메일은 “견적요청”이라는 제목으로 전파되었으며, 특정 기업에서 발송한 것처럼 사용자를 속여 메일에 포함된 첨부파일 “Purchase order.xlsx”의 클릭을 유도하고 있습니다. [그림 1] 견적 요청 메일로 위장한 피싱 메일 사용자가 피싱메일에 첨부된 파일을 다운로드하여 실행할 경우, MS Office 엑셀파일이 오픈되며 전체 파일 내용 확인을 위해 본문에 포함된 링크를 클릭 할 경우 개인 정보 탈취를 목적으로 제작된 외부 사이트로 이동 합니다. - 개인정보 수집 사이트hxxps://man2deliserdang.sch.id/xel/view.php - 개..

악성코드 분석 리포트 2020. 10. 28. 14:30

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 최근 ‘청년인턴 합격자 발표 내용의 보도자료’로 위장한 ‘청년인턴.pdf .exe’ 랜섬웨어 악성 파일이 발견되어 이용자들의 주의를 당부드립니다. 특징적으로 공격자는 pdf가 아닌 pdx 아이콘을 사용하였는데, pdx 확장자는 어도비 아크로뱃 리더 인덱스 파일을 의미합니다. [그림 1] PDX 아이콘으로 위장한 랜섬웨어 파일 청년인턴.pdf .exe 분석 ‘청년 인턴.pdf .exe’는 7Zip SFX로 되어 있고, C:\NewFolder\에 org.pdf, result.exe 파일을 드롭 및 실행합니다. [그림 2] ‘청년 인턴.pdf .exe’ 파일 내부 화면 실행되는 ‘org.pdf’ 파일 내용은 아래와 같습니다. [그림 3] ‘org.p..

악성코드 분석 리포트 2020. 10. 28. 14:05

Mac users unable to print after Apple revoked HP certificate 애플이 HP 프린트 드라이버에 서명된 인증서를 폐기하여 HP 프린터를 사용하는 애플 macOS X 사용자들이 컴퓨터에서 프린트를 할 수 없게 되었습니다. 그 결과 macOS X에서 프린트 드라이버가 악성코드로 오인되었으며 사용자들은 주말 내내 불편을 호소했습니다. 프린트 드라이버, 악성코드로 오인 받아 Bleeping Computer에서 확인해본 결과, macOS Catalina (10.15.7 (19H2))를 사용하는 맥북에서 HP 프린터로 문서를 인쇄할 경우 작업이 인쇄 대기열에는 남아있지만 완료되지는 않았습니다. 해당 프린트 드라이버가 악성코드로 오인되었기 때문입니다. macOS에서 HP 프..

국내외 보안동향 2020. 10. 28. 14:00